De Amerikaanse president Donald Trump heeft vorige week potentieel het recent gesloten Privacy Shield opgeblazen, meldden diverse media vorige week. Dankzij Privacy Shield mochten Europese bedrijven weer gewoon persoonsgegevens opslaan of laten verwerken in de VS. Een executive order gericht tegen illegale immigranten lijkt hier inderdaad een bom onder te leggen.
Al sinds de jaren negentig schuurt het qua persoonsgegevens tussen de Europese Unie en de VS. De Europese regels over persoonsgegevens zijn de strengste ter wereld, en bepalen onder meer dat persoonsgegevens de EU niet uit mogen tenzij het derde land zelf een minstens zo goed niveau van bescherming heeft. Tot 2015 hadden we de Safe Harbor-regeling, maar die werd vernietigd door het Hof van Justitie. Haar opvolger het Privacy Shield werd in juni aangenomen en bevatte iets meer waarborgen voor Europese burgers.
Doel van Privacy Shield is Amerika zich te laten committeren aan de Europese privacyregels wanneer Amerikaanse bedrijven data opslaan van Europese burgers. Toegang tot die data mag wel, maar alleen onder strenge voorwaarden en in gevallen van strafbare zaken, nationale veiligheid en dergelijke. Niet arbitrair of zonder reden of procedurele waarborgen. En daar leek de VS mee in te stemmen.
Artikel 14 van een recente Executive Order bepaalt echter iets vervelends voor het Privacy Shield:
Sec. 14. Privacy Act. Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.
Gezien de context lijkt dit te zijn geschreven voor overheidsinstanties die betrokken zijn bij immigratie. Deze mogen geen beleid maken over persoonsgegevens waarmee illegal aliens enige aanspraak op privacy kunnen maken. Doel daarvan lijkt me logisch: zo snel mogelijk al deze personen op te kunnen sporen, en geen last van rare privacyregels waarmee je niet in iemands database zou mogen.
Betekent dit nu het einde van Privacy Shield? Immers, ook Europese burgers zijn “persons who are not United States citizens or lawful permanent residents” en die vallen nu buiten de Amerikaanse privacywet.
Gelukkig niet. De Europese Commissie reageerde snel met de toelichting dat deze wet sowieso niet bedoeld is voor buitenlanders. Dat was de hele reden dat de EU US Privacy Shield-overeenkomst moest worden gesloten, aldus de commissie. In combinatie met de zogeheten Umbrella Agreement is zo apart geregeld dat data van Europese burgers veilig verwerkt mag worden.
Deze executive order verandert niets aan het Privacy Shield of bijbehorende afspraken. Het lijkt dus een storm in een glas water te zijn geweest.
Arnoud