Heeft Donald Trump het Privacy Shield opgeblazen?

De Amerikaanse president Donald Trump heeft vorige week potentieel het recent gesloten Privacy Shield opgeblazen, meldden diverse media vorige week. Dankzij Privacy Shield mochten Europese bedrijven weer gewoon persoonsgegevens opslaan of laten verwerken in de VS. Een executive order gericht tegen illegale immigranten lijkt hier inderdaad een bom onder te leggen.

Al sinds de jaren negentig schuurt het qua persoonsgegevens tussen de Europese Unie en de VS. De Europese regels over persoonsgegevens zijn de strengste ter wereld, en bepalen onder meer dat persoonsgegevens de EU niet uit mogen tenzij het derde land zelf een minstens zo goed niveau van bescherming heeft. Tot 2015 hadden we de Safe Harbor-regeling, maar die werd vernietigd door het Hof van Justitie. Haar opvolger het Privacy Shield werd in juni aangenomen en bevatte iets meer waarborgen voor Europese burgers.

Doel van Privacy Shield is Amerika zich te laten committeren aan de Europese privacyregels wanneer Amerikaanse bedrijven data opslaan van Europese burgers. Toegang tot die data mag wel, maar alleen onder strenge voorwaarden en in gevallen van strafbare zaken, nationale veiligheid en dergelijke. Niet arbitrair of zonder reden of procedurele waarborgen. En daar leek de VS mee in te stemmen.

Artikel 14 van een recente Executive Order bepaalt echter iets vervelends voor het Privacy Shield:

Sec. 14. Privacy Act. Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.

Gezien de context lijkt dit te zijn geschreven voor overheidsinstanties die betrokken zijn bij immigratie. Deze mogen geen beleid maken over persoonsgegevens waarmee illegal aliens enige aanspraak op privacy kunnen maken. Doel daarvan lijkt me logisch: zo snel mogelijk al deze personen op te kunnen sporen, en geen last van rare privacyregels waarmee je niet in iemands database zou mogen.

Betekent dit nu het einde van Privacy Shield? Immers, ook Europese burgers zijn “persons who are not United States citizens or lawful permanent residents” en die vallen nu buiten de Amerikaanse privacywet.

Gelukkig niet. De Europese Commissie reageerde snel met de toelichting dat deze wet sowieso niet bedoeld is voor buitenlanders. Dat was de hele reden dat de EU US Privacy Shield-overeenkomst moest worden gesloten, aldus de commissie. In combinatie met de zogeheten Umbrella Agreement is zo apart geregeld dat data van Europese burgers veilig verwerkt mag worden.

Deze executive order verandert niets aan het Privacy Shield of bijbehorende afspraken. Het lijkt dus een storm in een glas water te zijn geweest.

Arnoud

8 reacties

  1. Ik snap het niet helemaal geloof ik. Ik heb het artikel van The Register gelezen, en registreer een tegenstelling.

    “We are aware of the executive order on public safety,” noted the statement. “The US Privacy Act has never offered data protection rights to Europeans.”

    En vervolgens:

    To finalise this agreement the US Congress adopted a new law last year, the US Judicial Redress Act, which extends the benefits of the US Privacy Act to Europeans and gives them access to US courts.”

    Ik lees dit als dat de US Privacy Act eerder geen voordelen gaf aan Europeanen, en deze executive order verandert daar niks aan. Maar per 1 februari zou de US Privacy wél voordelen bieden aan Europeanen, en volgens het artikel is het nog niet zo zeker of hierin voorzien is in de executive order:

    Sec. 14. Privacy Act. Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.
    Kortom, we weten nog helemaal niet of dit een bom of een storm in een glas water is. Wordt vervolgd?

    1. Maar voor Privacy Shield is het irrelevant of de Privacy Act enige rechten verleent aan Europese burgers. In de PS-overeenkomst (en bijbehorende Framework-overeenkomst) staat apart geregeld dat Europese burgers bescherming van hun persoonsgegevens zullen hebben. Die Judicial Redress Act is een kers op de taart, geen fundamentele noodzaak om het Privacy Shield intact te mogen laten.

    2. Vooralsnog blijkt nergens uit dat deze executive order bedoeld is om dat hele Privacy Shield verhaal en de deal met de EU op te blazen. Integendeel, het ging om een ronkende verkiezingsbelofte van Trump. We zullen het zien maar ik verwacht ook een storm in een glas water. Het lijkt gewoon een kwestie van broddelwerk, wat ook blijkt uit het feit dat de eerste de beste rechter het gelijk afschiet.

  2. Volgens mij verwar je de Privacy act met Privacy shield. De Privacy act was een privacy wet voor Amerikanen en niet echt bedoeld voor privacy voor buitenlanders en wordt nu als zodanig ook uitgevoerd door het decreet van Donald Trump (en waarschijnlijk ook als zonder dat decreet) Privacy shield is een verdragsregeling met de EU die juist expliciet wel is bedoeld voor de privacy van buitenlanders en het decreet veranderd daar als het goed is niks aan omdat een decreet van de US president de aard van de wet en regelgeving niet veranderd maar alleen de uitvoering.

    1. Nee, ik verwar die niet, dat doet de mediacommotie. In die Executive Order heeft Trump de Privacy Act buiten werking geplaatst voor buitenlanders. De impressie was dat daarmee Privacy Shield ongeldig zou worden, omdat (zo leek het) er dan geen adequate privacybescherming in de VS meer was – een vereiste voor PS. Maar aangezien de PA sowieso niet geldt voor EU-onderdanen, is deze EO irrelevant.

  3. Het doet er uiteindelijk niet toe, het hele privacy shield is een wassen neus. Alles is toegestaan voor misdaad bestrijding en national security en men werkt geheime interpretaties van de wet en geheime rechtbanken. Grappig is ook dat de privacy shield website links naar twitter, facebook, youtube, google analytics, jquery, fonts.googleapis.com en cloudflare heeft. De pagina waar zou moeten staan hoe lang de data bewaard wordt geeft een 404 (https://www.archives.gov/records-mgmt/grs/grs20). Dit zegt wel genoeg over hoe ze tegen privacy aankijken….

    Men heeft al vaak genoeg bewezen zich niets van privacy aan te trekken in de Je naait me steeds of America.

    1. Ik vind het wat lichtjes gedacht. De amerikaanse overheuid heeft de afgelopen 15 jaar een hele reeks nederlagen geleden in rechtszaken mbt inbreuken op de privacy. De wangedrochten van de patriot act zijn voor grote delen weer teruggedraaid door diverse rechterlijke uitspraken en bepaalde praktijken van de NSA zijn na snowden aanbanden gelegd doordat de verplichte gegevensverstrekkng van bijvoorbeeld telecommaatschappijen is gestopt en is omgezet in een soort bewaarplicht achtige constructie. De VS is zeker geen land waar de privacybescherming hoog in het vaandel staat bij de overheid en bedrijven maar langzaam aan hebben mensenrechtenorganisaties toch diverse zaken weten te verbeteren. Het zal echter wel van bepaalde keuzes van Trump afhangen, vooral van de rechter die in het supreme court gekozen wordt of dat niet een andere kant opdraait.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.