Geld en Werk

Privacy Shield: dit houdt de datadeal tussen EU-VS in

29 februari 2016 13:13 Aangepast: 01 augustus 2017 07:00
Beeld © Getty

Amerikaanse bedrijven mogen de gegevens van Europese burgers blijven verwerken, mits ze aantonen dat onze privacy wordt gewaarborgd. Dat staat in de nieuwe Privacy Shield-afspraak, waarvan de details vandaag door de Europese Commissie zijn bekendgemaakt.

Twee jaar werkten Europa en de Verenigde Staten aan een opvolger voor Safe Harbor, de afspraak waarmee Amerikaanse bedrijven data van Europeanen mochten verwerken en opslaan. Het Europees Hof verklaarde Safe Harbor vorig jaar ongeldig, nadat klokkenluider Edward Snowden de spionagepraktijken van de Amerikaanse geheime dienst NSA openbaarde.

Amerikaanse bedrijven raakten toen in paniek, omdat zij wettelijk gezien geen data van Europese gebruikers in de VS mochten verwerken. Met het Privacy Shield wordt dit weer mogelijk, maar zowel de Amerikaanse overheid als Amerikaanse bedrijven moeten zich voortaan aan striktere regels houden.

Dit is nieuw in Privacy Shield:

1. Amerikaanse bedrijven moeten zich registeren voor deelname aan het Privacy Shield
Dit klinkt een beetje als Safe Harbor 2.0: bedrijven moeten schriftelijk aantonen dat zij de privacy van Europese burgers waarborgen. Dat gebeurt elk jaar. Het Amerikaanse ministerie van Economische Zaken houdt er toezicht op dat bedrijven zich houden aan het Privacy Shield, en het zorgt voor een up-to-date lijst met aangesloten bedrijven. Als bedrijven zich toch niet aan het Privacy Shield houden, dan volgen er sancties.

In het Privacy Shield staat onder andere dat bedrijven data van Europese burgers alleen mogen verwerken voor 'gelimiteerde en gespecificeerde doeleinden' en dat individuen daarmee expliciet in moet stemmen. Ook moeten de data veilig worden opgeslagen zodat niet jan en alleman bij de data kan.

2. De Amerikaanse geheime dienst mag niet zomaar Europese burgers bespioneren
De Europese Commissie is tevreden met de schriftelijke garanties van de VS dat de Amerikaanse geheime dienst data van Europese burgers alleen aftapt als daar noodzaak voor is. Er zijn volgens de Europese Commissie 'duidelijke beperkingen, waarborgen en toezichtmechanismen' ingesteld voor spionage door de NSA.

Ook wordt er een onafhankelijke ombudsman in de VS aangesteld die klachten over de spionagepraktijken van de NSA behandelt. Hier kunnen Europese burgers met hun klachten terecht. Ook worden de praktijken van de geheime dienst elk jaar door de Europese Commissie opnieuw onder de loep genomen.

Thumbnail

3. Amerikaanse bedrijven moeten klachten binnen 45 dagen in behandeling nemen
Als je een klacht indient bij een Amerikaans bedrijf over het verwerken van jouw data, moet de klacht binnen 45 dagen in behandeling worden genomen. Je kunt als gebruiker een klacht bij het bedrijf indienen of aankloppen bij de Nederlandse privacywaakhond Autoriteit Persoonsgegevens. Daarnaast krijgt het Privacy Shield een tool waarmee Europese burgers klachten over Amerikaanse bedrijven kunnen indienen. Ook wordt er een speciaal Europees panel opgericht dat dergelijke klachten in behandeling kan nemen.

4. Elk jaar wordt het Privacy Shield opnieuw beoordeeld
Het Privacy Shield wordt elk jaar door de Europese Commissie en het Amerikaanse ministerie van Economische Zaken opnieuw beoordeeld. Bij deze beoordeling worden ook de spionagepraktijken van de NSA meegenomen - en of de geheime dienst niet over de schreef is gegaan. Dat gebeurt onder andere met transparantierapporten van bedrijven, die publiceren hoe vaak ze door een overheid zijn benaderd om gegevens over te dragen.

'Een varken met tien lagen lippenstift'
Andrus Ansip, vicepresident van de Europese Commissie, is blij met de details van het Privacy Shield: "We blijven werken om het vertrouwen in de online wereld te versterken. Vertrouwen is een must, en dat wat onze digitale toekomst zal aandrijven."

Maar vertrouwen is volgens critici niet genoeg om de privacy van Europese burgers te beschermen. "De EU en VS proberen zo'n tien lagen lippenstift op een varken te smeren, maar de kernproblemen zijn duidelijk niet opgelost", schrijft Max Schrems (pdf). De Oostenrijker zorgde er met een rechtszaak tegen Facebook voor dat Safe Harbor werd afgeschaft. Schrems vindt dat zijn data op de Amerikaanse servers van Facebook niet veilig zijn, en het Europees Hof stelde hem in het gelijk.

Thumbnail

Schrems: "De Europese Commissie claimt dat er geen 'bulkspionage' meer plaatsvindt, maar de documenten zeggen juist het tegenovergestelde." Hij doelt op een passage in het Privacy Shield, waarmee het in bulk verzamelen van data van Europese burgers door de NSA alleen is toegestaan onder zes specifieke voorwaarden, zoals omwille van counterterrorisme en cybersecurity.

Volgens Schrems zijn er genoeg mensen die met het Privacy Shield weer naar het Europees Hof stappen om de legaliteit van de afspraak te beproeven: "En ik kan zeker één van die mensen zijn."

Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens laat weten dat het nog vraagtekens zet bij enkele onderdelen uit het Privacy Shield, en hoe stevig deze in de praktijk zijn. "De devil zit in de details", aldus een woordvoerder.

De Nederlandse privacywaakhond komt half april met een officieel oordeel over de details, in samenwerking met de Artikel 29-werkgroep die bestaat uit de Europese privacytoezichthouders. 

Altijd weten wat er speelt?
Download de gratis RTL Nieuws-app en blijf op de hoogte.

Playstore Appstore