Europese Commissie: ‘Uitvoering van EU-US Privacy Shield kan beter’

Het EU-US Privacy Shield functioneert goed. Wel is er ruimte voor verbetering van de uitvoering van deze overeenkomst.

Dit stelt de Europese Commissie in het eerste jaarverslag over de werking van het EU-US Privacy Shield. Dit jaarverslag is gebaseerd op een recente evaluatie van het verdrag, die in september werd uitgevoerd. Het privacyschild heeft als doel de persoonsgegevens van Europeanen te beschermen indien die gegevens voor commerciële doeleinden naar bedrijven in de Verenigde Staten (VS) worden doorgegeven.

'Doorgifte van gegevens is van cruciaal belang'

Věra Jourová, EU-commissaris voor Justitie, Consumentenzaken en Gendergelijkheid: “De trans-Atlantische doorgifte van gegevens is van cruciaal belang voor onze economie. Het grondrecht op de bescherming van persoonsgegevens moet echter worden gewaarborgd, ook als persoonsgegevens de EU verlaten. Uit de eerste evaluatie blijkt dat het privacyschild goed functioneert, maar dat er ruimte is voor verbetering van de uitvoering. Bij het privacyschild gaat het niet om een document dat in een la ligt te verstoffen. Het betreft hier een regeling waarop de EU en de VS actief toezicht moeten uitoefenen, zodat we onze strenge normen voor gegevensbescherming hoog kunnen houden.”

Andrus Ansip, vicevoorzitter van de Commissie voor de Digitale Eengemaakte Markt: “De Commissie is een groot voorstandster van de regeling met de VS over het privacyschild. Het is voor gecertificeerde bedrijven in de VS en Europese consumenten en bedrijven, inclusief het midden- en kleinbedrijf, van groot belang dat internationale gegevensdoorgiften goed beveiligd worden. Uit dit eerste jaarverslag blijkt dat wij ons inzetten voor een solide certificeringsregeling die in dynamisch toezicht voorziet.”

Jaarlijkse evaluatie

Bij de start van het privacyschild in augustus 2016 heeft de Commissie bepaald jaarlijks te evalueren of het privacyschild nog steeds een passend beschermingsniveau voor persoonsgegevens biedt. Het eerste jaarverslag over het verdrag is gebaseerd op bijeenkomsten met alle betrokken autoriteiten van de VS, die medio september 2017 in Washington hebben plaatsgevonden. Daarnaast is gebruikgemaakt van input van een verschillende belanghebbenden, waaronder rapportages door bedrijven en ngo's. Ook onafhankelijke gegevensbeschermingsautoriteiten van de lidstaten hebben aan de evaluatie meegewerkt.

In het verslag stelt de Europese Commissie dat het privacyschild nog steeds een passend beschermingsniveau biedt voor de doorgifte van persoonsgegevens vanuit de EU naar deelnemende bedrijven in de EU. De autoriteiten in de VS hebben de structuren en procedures opgezet die vereist zijn voor de goede werking van het privacyschild, stelt de commissie. Ook zijn er procedures voor het behandelen van klachten en voor handhaving opgezet en is de samenwerking met de Europese autoriteiten voor gegevensbescherming geïntensiveerd. Het certificeringsproces functioneert goed, stelt de Europese Commissie. De commissie wijst erop dat meer dan 2 400 bedrijven inmiddels door het Amerikaanse ministerie van Handel zijn gecertificeerd. Voor de toegang van de Amerikaanse overheid tot persoonsgegevens om redenen van nationale veiligheid blijven aan Amerikaanse zijde de desbetreffende waarborgen van kracht.

Aanbevelingen

Desondanks is de ruimte om de uitvoering van het verslag te verbeteren. Het verslag bevat daarom ook een aantal aanbevelingen die ervoor moeten zorgen dat het privacyschild goed blijft functioneren. Enkele voorbeelden zijn:

• meer proactief en regelmatig toezicht door het Amerikaanse ministerie van Handel om te controleren of bedrijven voldoen aan hun verplichtingen in het kader van het privacyschild. Het ministerie zou ook regelmatig moeten nagaan of er bedrijven zijn die valse informatie geven over hun deelname aan het privacyschild;
• betere voorlichting aan particulieren in de EU over hoe zij hun rechten op grond van het privacyschild kunnen doen gelden, met name hoe zij een klacht kunnen indienen;
• nauwere samenwerking tussen het Amerikaanse ministerie van Handel en de Federal Trade Commission en de gegevensbeschermingsautoriteiten in de EU, met name om richtsnoeren voor bedrijven en handhavingsautoriteiten op te stellen;
• wettelijk vastleggen van de bescherming voor niet-Amerikanen die de Presidential Policy Directive 28 (PPD-28) biedt, in het kader van het lopende debat in de VS over de hervorming van Section 702 van de Foreign Intelligence Surveillance Act (FISA);
• zo spoedig mogelijk een permanente privacyschildombudsman benoemen en ervoor zorgen dat de openstaande posten in de Privacy and Civil Liberties Oversight Board (PCLOB) worden ingevuld.