Blogbijdrage - ‘Privacy Shield’: een varken met lippenstift - door Sofie van der Meulen
- Door MedZine Redactie -
- Geplaatst op
Begin februari schreef ik over een nieuw akkoord tussen de EU en de VS met betrekking tot de overdracht van data: het ‘EU-VS privacyschild’. De voorlopige tekst van dit akkoord is op 29 februari gepubliceerd nadat er ruim er 2 jaar aan werd gewerkt. Na de ongeldig verklaring van de Safe Harbor-beschikking werd hier reikhalzend naar uitgekeken. Waarom? Bedrijven in de EU en VS die gebruik maakten van Safe-Harbor verkeren nu in onzekerheid omdat de gegevensoverdracht - ook van gegevens over de gezondheid van een persoon - op die basis niet langer rechtsgeldig is nadat het Europese Hof er in de Schrems-uitspraak een streep doorheen zette.
Kan het Privacy Shield al gebruikt worden als vervanging van Safe Harbor?
Nee, nog niet. De komende tijd wordt de ontwerptekst van het Privacy Shield onder de loep genomen door onder meer de Artikel 29-werkgroep en zal tevens beoordeeld worden of het Privacy Shield overeind kan blijven in het licht van de Schrems-uitspraak. Max Schrems zelf heeft zich kritisch uitgelaten over het Privacy Shield. Schrems: “They tried to put ten layers of lipstick on a pig, but I doubt the Court and the DPAs now suddenly want to cuddle with it.” Stapt Schrems weer naar het Europese Hof om de legaliteit van het akkoord te beproeven? Hij sluit het niet uit.
Voor een deel klinkt het Privacy Shield als Safe Harbor 2.0. Amerikaanse bedrijven moeten zich registreren voor deelname en akkoord gaan met privacyprincipes door middel van zelfcertificering, net als onder het Safe Harbor-regime. Dit proces moet elk jaar herhaald worden. Een verschil met de Safe-Harbor-beschikking betreft de controlemechanismen die worden gebruikt om te verifiëren of bedrijven zich ook daadwerkelijk aan de afspraken uit het akkoord houden. Bedrijven in de VS mogen gegevens van Europese burgers alleen verwerken voor beperkte en gespecificeerde doeleinden waarmee de betrokken burgers expliciet hebben ingestemd. Voor de verwerking van gegevens door big data toepassingen is dit nu al een uitdaging en dat wordt in ieder geval niet eenvoudiger. Verder mag de Amerikaanse geheime dienst (NSA) niet zomaar Europese burgers bespioneren, komt er een ombudsman in de VS en worden er meerdere klachtenprocedures geïntroduceerd.
De Autoriteit Persoonsgegevens komt medio april met een oordeel over het Privacy Shield.
Wat nu?
Bedrijven die voor de overdracht van persoonsgegevens van de EU naar de VS nog steeds gebruik maken van de ongeldige Safe Harbor-beschikking lopen nu steeds meer risico op boetes. Begin februari is de begunstigingstermijn waarbinnen niet werd opgetreden tegen bedrijven die de gegevensoverdracht baseerden op de Safe Harbor-beschikking afgelopen.
Handhaving lijkt intussen gestart te zijn, te beginnen in de Duitse stadstaat Hamburg. Volgens de lokale media, bereidt de Hamburgse autoriteit voor gegevensbescherming besluiten voor om drie bedrijven te beboeten die nog steeds de Safe Harbor-beschikking gebruiken als basis voor hun gegevensoverdracht naar de VS.
De Franse autoriteit voor gegevensbescherming, CNIL, beschuldigde Facebook recent nog van het illegale gebruik van de Safe Harbor-beschikking voor gegevensoverdracht, maar Facebook lijkt gebruik te maken van de Standard Contractual Clauses. Dit mechanisme is, net als de Binding Corporate Rules, nog steeds toegestaan als grondslag.
Dus wat te doen als gegevensoverdracht naar de VS nog steeds gebaseerd is op de Safe Harbor-beschikking? Zo snel mogelijk aan de slag met de Standard Contractual Clauses. Dit alternatief is gemakkelijker te implementeren dan de Binding Corporate Rules.
Sofie van der Meulen is advocaat bij Axon advocaten en heeft zich gespecialiseerd in de juridische en regulatoire aspecten van medische technologie.
