Heeft Donald Trump het Privacy Shield opgeblazen?

| AE 9220 | Privacy | 8 reacties

De Amerikaanse president Donald Trump heeft vorige week potentieel het recent gesloten Privacy Shield opgeblazen, meldden diverse media vorige week. Dankzij Privacy Shield mochten Europese bedrijven weer gewoon persoonsgegevens opslaan of laten verwerken in de VS. Een executive order gericht tegen illegale immigranten lijkt hier inderdaad een bom onder te leggen.

Al sinds de jaren negentig schuurt het qua persoonsgegevens tussen de Europese Unie en de VS. De Europese regels over persoonsgegevens zijn de strengste ter wereld, en bepalen onder meer dat persoonsgegevens de EU niet uit mogen tenzij het derde land zelf een minstens zo goed niveau van bescherming heeft. Tot 2015 hadden we de Safe Harbor-regeling, maar die werd vernietigd door het Hof van Justitie. Haar opvolger het Privacy Shield werd in juni aangenomen en bevatte iets meer waarborgen voor Europese burgers.

Doel van Privacy Shield is Amerika zich te laten committeren aan de Europese privacyregels wanneer Amerikaanse bedrijven data opslaan van Europese burgers. Toegang tot die data mag wel, maar alleen onder strenge voorwaarden en in gevallen van strafbare zaken, nationale veiligheid en dergelijke. Niet arbitrair of zonder reden of procedurele waarborgen. En daar leek de VS mee in te stemmen.

Artikel 14 van een recente Executive Order bepaalt echter iets vervelends voor het Privacy Shield:

Sec. 14. Privacy Act. Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.

Gezien de context lijkt dit te zijn geschreven voor overheidsinstanties die betrokken zijn bij immigratie. Deze mogen geen beleid maken over persoonsgegevens waarmee illegal aliens enige aanspraak op privacy kunnen maken. Doel daarvan lijkt me logisch: zo snel mogelijk al deze personen op te kunnen sporen, en geen last van rare privacyregels waarmee je niet in iemands database zou mogen.

Betekent dit nu het einde van Privacy Shield? Immers, ook Europese burgers zijn “persons who are not United States citizens or lawful permanent residents” en die vallen nu buiten de Amerikaanse privacywet.

Gelukkig niet. De Europese Commissie reageerde snel met de toelichting dat deze wet sowieso niet bedoeld is voor buitenlanders. Dat was de hele reden dat de EU US Privacy Shield-overeenkomst moest worden gesloten, aldus de commissie. In combinatie met de zogeheten Umbrella Agreement is zo apart geregeld dat data van Europese burgers veilig verwerkt mag worden.

Deze executive order verandert niets aan het Privacy Shield of bijbehorende afspraken. Het lijkt dus een storm in een glas water te zijn geweest.

Arnoud

Vergeet ik al die tijd helemaal wat te vinden van het Privacy Shield

| AE 8971 | Privacy | 10 reacties

privacy-shieldAlweer uit juli: het Privacy Shield, het nieuwe dataverdrag tussen de EU en de VS, is definitief aangenomen. Daarmee is er eindelijk weer een werkbare juridische basis voor doorgifte van persoonsgegevens aan de VS. Althans zou je denken. En ja sorry, dit is belangrijk maar het is me gewoon even ontschoten erover te bloggen.

Al sinds de jaren negentig schuurt het qua persoonsgegevens tussen de Europese Unie en de VS. De Europese regels over persoonsgegevens zijn de strengste ter wereld, en bepalen onder meer dat persoonsgegevens de EU niet uit mogen tenzij het derde land zelf een minstens zo goed niveau van bescherming heeft. En dat heeft de VS dus, zo bepaalde de Europese Commissie in de Safe Harbor-beslissing eind jaren negentig. Amerikaanse bedrijven konden zichzelf certificeren als compliant met Europese regels, en daarmee was het geregeld. Ja moehaha ik weet het.

Dankzij de Snowden-onthullingen kon niemand er meer omheen dat deze fictie geen stand kon houden. Het Hof van Justitie prikte er dan ook in 2015 doorheen: de Amerikaanse haven is niet veilig, punt. Safe Harbor kende geen harde garanties zoals Europees recht vereist, met name omdat de Amerikaanse overheid te allen tijde door de beschermingsregels heen kon prikken.

Na die uitspraak was het enige tijd paniek in de tent: mag je nog wel persoonsgegevens in de Amerikaanse cloud opslaan, of een Amerikaans bedrijf dingen laten doen met Europese persoonsgegevens? Eigenlijk niet, tenzij je via speciale ellenlange modelcontracten specifieke afspraken mag én die kon handhaven, wat nogal een gedoe is.

Nu is er dan een nieuw akkoord dat iets strengere regels stelt. Zo komt er een onafhankelijk toezichtpanel op de zelfcertificering; bij klachten kan een certificaat dan worden ingetrokken. Verder moeten Amerikaanse bedrijven zich duidelijker committeren aan Europese regels en wordt een ombudsman aangesteld die klachten over mogelijke massasurveillance onafhankelijk kan behandelen. De politiek zal de afspraken jaarlijks evalueren.

Zijn we er nu? Niet echt. Voorlopig zitten we goed, want als de Europese Commissie zegt dat een land veilig is, dan is dat zo – althans totdat de onafhankelijke toezichthouders en uiteindelijk het Hof van Justitie zeggen van niet. Dus zorg voor een bewerkersovereenkomst (ADV: doe die training) en let op dat je leveranciers gecertificeerd zijn onder Privacy Shield.

Op de lange termijn zal dit geen stand houden. Uiteindelijk blijft bij Privacy Shield net als bij Safe Harbor het probleem dat inlichtingen- en veiligheidsdiensten te makkelijk in bulk mogen graaien in persoonsgegevens die Amerikaanse bedrijven onder zich hebben. Dan kun je honderd ombudsmannen aanstellen maar die diensten gaan dat echt niet minder doen. En afspreken dat de VS niet gaat graaien in gegevens bij hun eigen onderdanen, dat kun je wel vergeten als Europese Unie.

Dus ja, leuk dat het gat van Safe Harbor tijdelijk gerepareerd is, we kunnen weer even door. Maar meer dan een doekje voor het bloeden is het niet. Het fundamentele probleem blijft: je moet haast wel de cloud in vandaag de dag, maar dat betekent automatisch opslag in de VS en dat wil je eigenlijk gewoon niet.

Arnoud