Safe Harbor wordt Privacy Shield
Vorig jaar verwierp Het Europees Hof het ‘Safe Harbor verdrag’. Een verdrag dat is ontwikkeld door de Amerikaanse overheid om Amerikaanse organisaties de mogelijkheid te bieden om zichzelf te certificeren, en zo aan Europese partijen aan te geven dat ze voldoende maatregelen treffen ter bescherming van Europese persoonsgegevens.
Binnen Europa zijn er veel regels die toezien op onze privacy, deze regels zijn buiten Europa anders of ontbreken in zijn geheel. Online-diensten en internet kennen geen landsgrenzen. Wil je als aanbieder van online-diensten toch de persoonsgegevens van je gebruikers beschermen in overeenstemming Europese geldende wet en regelgeving, dan moeten er afspraken gemaakt worden. Een voorbeeld hiervan was dus het Safe Harbor verdrag. Echter, dit verdrag werd dus, mede dankzij de onthullingen van Snowden, niet langer aangemerkt als een veilige constructie om Europese persoonsgegevens te beschermen bij uitwisseling van data met Amerika.
Twee dagen na het verstrijken van de deadline, gesteld door de Europese toezichthouders, om met een alternatief te komen, is er een opvolger: het EU-US Privacy Shield.
Het EU-US Privacy Shield is (helaas) nog geen verdrag alleen nog maar set van uitgangspunten die nog moeten worden uitgewerkt dus eigenlijk nog geen verandering van de bestaande situatie. Wat is er dan overeengekomen? Voor nu is alleen overeengekomen dat het Privacy Shield:
- Sterke verplichtingen zal gaan bevatten voor Amerikaanse bedrijven die Europese persoonsgegevens verwerken;
- Garanties van de Amerikaanse overheid zal gaan bevatten over het datagraaien.
- Amerikaanse bedrijven deadlines op zal leggen om te reageren op klachten van Europese burgers en Europese privacy toezichthouders klachten in kunnen dienen bij verschillende Amerikaanse overheidsinstanties;
- Specifiek voor klachten over het datagraaien door de Amerikaanse overheid bepalingen over het aanstellen van een ombudspersoon zal bevatten.
Hoe deze garanties vertaald gaan worden naar het echte verdrag is nog niet duidelijk. Dat moet in de komende weken tot maanden blijken als het verdrag wordt opgesteld. Evenmin is duidelijk of bovenstaande garanties dan wel voldoende waarborgen bieden tegen de bezwaren die het Europese Hof eerder had tegen Safe Harbor.
Wat zouden online dienstaanbieders tot die tijd moeten doen:
- In zijn geheel geen gebruik maken van Amerikaanse bedrijven, dus alleen samenwerken met Europese toeleveranciers of de uitwisseling van data met Amerikaanse bedrijven tot een zeer noodzakelijk minimum beperken en
- indien er gegevens worden uitgewisseld, gebruik maken van een modelcontract
- of toestemming vragen aan de gebruikers of de data mag worden verwerkt door een Amerikaanse organisatie.
Een modelcontract kun je vinden:
- Bij onze juridische adviseur ICTRecht, op de website is een generator opgenomen voor het opstellen van een modelcontract.
- Op de website van Europese Commissie.
Wat verlangt Zeker-OnLine van haar Keurmerkhouders.
Zeker-OnLine verlangt van haar Keurmerkhouders dat ze de privacyrechten van haar gebruikers respecteren. Vorig jaar, bij het doorhalen van het Safe Harbor verdrag, hebben alle keurmerkhouders, een nieuwe inventarisatie gemaakt met betrekking tot de toeleveranciers. Indien deze toeleveranciers gegevens uitwisselde met een Amerikaanse organisatie, is een inventarisatie gemaakt wat de doorhaling van het verdrag voor de eigen organisatie betekende en hebben ze zo nodig meteen actie ondernomen.
Welke zekerheid kun je als gebruiker hieraan ontlenen?
De keurmerkhouders worden jaarlijks door een onafhankelijke IT-auditor van BDO, ControlSolutions of Mazars geaudit op het bestaan en werking van de getroffen maatregelen.
Dit bericht is opgesteld in samenwerking met ICTRecht.
Lees het hele nieuwsbericht van de Europese Commissie hier.
Lees de laatste versie van het Zeker-OnLine normenkader 3.12 onder de tab documenten.
Deel dit artikel: