Het nieuwe data privacy verdrag Privacy Shield, dat de uitwisseling van persoonsgegevens tussen de EU en de V.S. van een nieuwe juridische grondslag moet voorzien na de verwerping van Safe Harbor in oktober 2015, biedt op dit moment niet de verbeteringen die noodzakelijk zijn om de privacy van Europese burgers beter te waarborgen.
Op 13 april jl. heeft de artikel 29 werkgroep, een samenwerkingsverband van de nationale privacytoezichthouders van EU-lidstaten, zijn mening gegeven over Privacy Shield. Privacy Shield zal het Safe Harbor verdrag, dat in oktober 2015 verworpen werd, gaan vervangen en wordt de grondslag om persoonsgegevens door te geven naar de Verenigde Staten. Vooralsnog heeft de Artikel 29 werkgroep, die de Europese Commissie adviseert over Privacy Shield, nog flinke bedenkingen bij enkele bepalingen die in het ontwerp van het verdrag opgenomen zijn. Het belang van een nieuwe grondslag voor data uitwisseling is groot en de Europese Commissie dient de boodschap van de Artikel 29 werkgroep dan ook serieus te nemen.
“Nederland leeft van internationale handel en logistiek. Met haar vele datacenters is Nederland een belangrijk landings- en distributiepunt van data voor veel Amerikaanse bedrijven”, aldus Stijn Grove, directeur van de Dutch Datacenter Association. “Vertrouwen door goede afspraken en verdragen, over hoe we omgaan met data en specifieke persoonsgegevens, vormt de basis voor handel en doorvoer. Daarvoor zijn verdragen over persoonsgegevens nodig.”
De artikel 29 werkgroep is van mening dat de privacy van Europese data niet voldoende is gewaarborgd met Privacy Shield. Zo heeft de werkgroep zijn twijfels of Europeanen hun rechten goed kunnen uitoefenen en of de mogelijkheden om klachten in te dienen niet te beperkt en te complex zijn. Daarnaast maakt de werkgroep zich zorgen over de mogelijkheden van Amerikaanse geheime diensten om alsnog tot surveillance over te gaan, terwijl juist de massasurveillance door de Amerikaanse geheime diensten een van de redenen was om Safe Harbor te vernietigen.
Ook in de V.S. worden de ontwikkelingen rond Privacy Shield op de voet gevolgd. De Internet Infrastructure Coalition (I2Coalition), een zusterorganisatie waar de DDA mee samenwerkt, gaf kort na de publicatie van het advies een reactie. David Snead, voorzitter en mede oprichter van I2Coalition: “The I2Coaltion remains committed to resolving concerns about the U.S./EU Privacy Shield. We understand the concerns raised by the Article 29 Working Group. We believe that many of the concerns raised by the Working Group can be resolved with further discussions. Our members around the world depend on the ability to transmit data from the EU to the US, and around the world. We will work to ensure that EU privacy concerns are addressed.” Snead onderstreept daarmee de grote belangen die ook in de V.S. en daarbuiten gemoeid zijn met Privacy Shield.
Die belangen zijn zeker niet alleen economisch van aard. Niels Dutij, juridisch adviseur bij ICTRecht en specialist op het gebied van online privacy: ‘Het is van groot belang dat er een verdrag tot stand komt, waarbij de privacy van Europeanen gewaarborgd blijft. Vooral de mogelijkheden tot massasurveillance door de Amerikaanse geheime diensten baren ons zorgen. Safe Harbor is hoofdzakelijk afgeschoten vanwege de onbeperkte mogelijkheden voor massasurveillance. Maar onder Privacy Shield blijft massasurveillance door de V.S. gewoon toegestaan, mits daarvoor een grondslag is. De grondslagen zijn echter dermate breed opgesteld dat er bijna altijd wel een grondslag door de Amerikaanse overheid gebruikt kan worden.’
“Wij zijn blij dat de artikel 29 werkgroep een kritische houding heeft tegenover het Privacy Shield”, aldus Dutij. “De artikel 29 werkgroep volgt niet zomaar het voorstel van de Europese Commissie, maar heeft een duidelijk signaal afgegeven. De privacy van Europeanen moet gewaarborgd blijven en daar is het huidige Privacy Shield niet geschikt voor. Onze kritiek op Privacy Shield worden duidelijk onderstreept door de artikel 29 werkgroep. Wij hopen dan ook dat de Europese Commissie deze kritiek serieus neemt en de aanpassingen doet die noodzakelijk zijn om de privacy van Europeanen te garanderen.”