Het EU-U.S. Privacy Shield

Het EU-U.S. Privacy Shield is een overeenkomst tussen het Amerikaanse ministerie van Economische Zaken en de Europese Commissie over de uitwisseling van persoonsgegevens tussen bedrijven in de EU en de VS. Het Privacy Shield is sinds 1 augustus 2016 van kracht en vervangt het Safe Harbor-verdrag.

Wat staat er in het EU-U.S. Privacy Shield?

1. Regels voor Amerikaanse bedrijven die Europese persoonsgegevens verwerken. De belangrijkste regels in het kort:

  • Privacy policy: de privacy policy moet voldoen aan de Privacy Shield Principles en een link bevatten naar de website van het Privacy Shield;
  • Klachtenprocedure: er moet een kosteloze en onafhankelijke klachtenprocedure zijn, en klachten moeten binnen 45 dagen worden beantwoord;
  • Data minimalisatie: het gebruik van persoonsgegevens moet beperkt zijn tot gegevens die noodzakelijk zijn voor het aangegeven doel;
  • Strikte voorwaarden data-doorgifte aan derden: data-doorgifte aan derden is alleen toegestaan: (i) voor beperkte en expliciet benoemde doeleinden die in overeenstemming zijn met de doeleinden waarvoor de betrokkene toestemming heeft gegeven, en (ii) op basis van een contract met die derde waarin staat dat de derde partij zich ook houdt aan de Privacy Shield Principles;
  • Transparantie: als een bedrijf door de toezichthouder is aangesproken omdat zij niet aan de regels voldoet, dan wordt dit openbaar gemaakt, evenals de maatregelen die het bedrijf vervolgens heeft genomen om wel aan de regels te voldoen.

2. De Amerikaanse overheid controleert regelmatig of bedrijven met een Privacy Shield certificering zich aan de regels houden. Bij een overtreding kan de overheid het certificaat intrekken.

3. Er is een Amerikaanse ombudsman waar Europese burgers een klacht kunnen indienen als zij vinden dat een Amerikaans bedrijf of de Amerikaanse overheid hun privacy schendt.

4. De Amerikaanse overheid heeft toegezegd: i) geen grootschalige surveillance-acties meer uit te voeren op Europese persoonsgegevens en ii) de data van Europese bedrijven niet meer door de inlichtingendiensten te laten gebruiken.

Wat moet ik als ondernemer doen als ik data uitwissel met een (Amerikaans) bedrijf

1. Check: Persoonsgegevens of niet?

Check of de data die je wilt uitwisselen persoonsgegevens zijn. Alleen dan heb je te maken met privacygevoelige informatie en met de privacyregelgeving.

Persoonsgegevens zijn alle gegevens die (direct of indirect) te herleiden zijn tot identificeerbare personen, zoals iemands naam, (email)adres, of telefoonnummer. Ook iemands IP-nummer of koop- of surfgedrag op internet is een persoonsgegeven. Gegevens die niet tot personen te herleiden zijn of gegevens over bedrijven, vallen niet onder het begrip ‘persoonsgegeven’.

2. Maak: Bewerkersovereenkomst

Zorg voor een bewerkersovereenkomst tussen jou en het bedrijf waaraan je persoonsgegevens doorgeeft. In een bewerkersovereenkomst staat hoe het bedrijf waaraan je persoonsgegevens doorgeeft (de bewerker) met de persoonsgegevens dient om te gaan. Het sluiten van een bewerkersovereenkomst is wettelijk verplicht, zodra je het verwerken van persoonsgegevens uitbesteedt aan een derde.

3. Check: Binnen of buiten de EU?

Als het bedrijf waaraan je data doorgeeft gevestigd is in een EU-lidstaat, dan hoeven jij en dat bedrijf alleen te voldoen aan de Nederlandse Wet bescherming persoonsgegevens (deze wet is namelijk een uitwerking van de Europese privacyrichtlijn). Dit geldt ook als het bedrijf gevestigd is in Noorwegen, Liechtenstein of IJsland. Deze landen zijn geen lid van de EU, maar hebben zich wel geconformeerd aan de Europese privacyrichtlijn

4. Uitwisseling met de VS? Check Privacy Shield List!

Als het bedrijf waarmee je data uitwisselt in de VS is gevestigd, controleer dan of het bedrijf op de Privacy Shield List staat. Zo ja, dan mag je ervan uitgaan dat dit bedrijf de privacy voldoende beschermt.

5. Bedrijf niet op Privacy Shield List of buiten de EU?

Staat het bedrijf niet op de Privacy Shield List en is het ook niet in de EU gevestigd? Maak dan gebruik van de modelcontracten die de Europese Commissie heeft opgesteld. Als je met zo’n modelcontract persoonsgegevens uitwisselt met een ander bedrijf, ben je ervan verzekerd dat het privacybeschermingsniveau voldoet aan de Europese normen.

Een ander alternatief: expliciet toestemming vragen aan de personen van wie je de gegevens wilt doorgeven. Nadelen: i) niet werkbaar als het gaat om een grote groep personen, en ii) kans is groot dat personen hun toestemming weigeren.

EU-U.S. Privacy Shield als opvolger van Safe Harbor

Het EU-U.S. Privacy Shield is in de plaats gekomen van het Safe Harbor-verdrag. Doel van het Safe Harbor-verdrag was om Europese bedrijven zekerheid te bieden over het privacybeschermingsniveau bij Amerikaanse bedrijven. Als een Amerikaans bedrijf zich had aangesloten bij Safe Harbor, dan was de belofte dat de privacy daar voldoende beschermd werd. Een valse belofte, zo is inmiddels gebleken.

Het Safe Harbor-verdrag is namelijk op 6 oktober 2015 door het Europese Hof ongeldig verklaard (HvJ EU 6 oktober 2015, C‑362/14 (Schrems)). Aanleiding was een procedure die de Oostenrijker Max Schrems had aangespannen tegen Facebook Ierland vanwege het doorgeven van zijn persoonsgegevens naar het moederbedrijf van Facebook in de VS. Schrems stelde dat er in de VS helemaal geen passend beschermingsniveau werd geboden voor Europese persoonsgegevens. Hij verwees daarbij naar de onthullingen van Edward Snowden. Daaruit bleek dat de Amerikaanse inlichtingendiensten op grote schaal onbelemmerd toegang hebben tot persoonsgegevens die bij Amerikaanse bedrijven zijn opgeslagen.

Het Europese Hof gaf Schrems gelijk. Er was in de VS inderdaad geen sprake (meer) van een privacybeschermingsniveau die voldeed aan de Europese standaarden. Daarom haalde het hof een streep door Safe Harbor.

Gevolg: onzekerheid voor Europese bedrijven of zij hun persoonsgegevens nu nog wel veilig naar de VS konden overbrengen. Deze lacune probeert het nieuwe EU–U.S. Privacy Shield nu op te vullen.

Meer info? Neem contact op met onze twee senior advocaten privacyrecht: Yonie Scheijde en Laura van Gijn

Over ons

De Roos Advocatuur is een ervaren, toegankelijk en transparant advocatenkantoor. We leveren steengoed juridisch advies op maat op het gebied van Ondernemingsrecht, Intellectueel Eigendomsrecht, Commercieel contractenrecht en Privacyrecht. We zijn het juridische verlengstuk van je onderneming.

Advocaat intellectueel eigendomsrecht

Laura van Gijn

Advocaat Privacyrecht

 

 

Hulp nodig?

Onze gespecialiseerde advocaten zijn altijd beschikbaar voor een vrijblijvend eerste adviesgesprek. Heeft u een juridische kwestie waar u vertrouwelijk advies over wilt inwinnen? Aarzel niet om met ons contact te zoeken.

Ontvang onze nieuwsbrief

 
 

De Roos Advocaten, Hamerstraat 19-1, 1021 JT Amsterdam
© 2017 De Roos Advocatuur. All rights reserved.