Op 12 juli 2016 is het EU-U.S. Privacy Shield (ook wel het privacyschild genoemd) door de Europese Commissie aangenomen én direct in werking getreden. Maar wat betekent dit nu eigenlijk?
Achtergrond
Voordat het Privacy Shield in werking trad, was doorgifte van persoonsgegevens naar de Verenigde Staten mogelijk als het desbetreffende bedrijf in de Verenigde Staten zich had verplicht tot naleving van de Safe Harbor Principles. Daarnaast kan doorgifte van persoonsgegevens van Europeanen naar de Verenigde Staten onder andere zijn toegestaan bij gebruikmaking van één van de door de Europese Commissie goedgekeurde modelcontracten (de zogenaamde Standard Contractual Clauses of een vergunning van de Autoriteit Persoonsgegevens is verkregen.
Omdat het Europees Hof van Justitie op 6 oktober 2015 de Safe Harbor Principles ongeldig heeft verklaard, moesten er nieuwe regels komen voor de doorgifte van persoonsgegevens vanuit Europa naar de Verenigde Staten.[1] Na de uitspraak van het Europese Hof van Justitie was doorgifte van persoonsgegevens vanuit Europa naar de Verenigde Staten op basis van de Safe Harbor Principles niet meer toegestaan.
Persoonsgegeven
Een persoonsgegeven is elk gegeven betreffende een direct dan wel indirect geïdentificeerde of identificeerbare natuurlijke persoon. Hierbij moet onder andere worden gedacht aan privacygevoelige gegevens zoals uw naam, adres, geboortedatum en religie.
Doorgifte
Doorgifte van persoonsgegevens gaat – zoals het woord letterlijk aanduidt – over het doorgeven/doorsturen van persoonsgegevens door uw organisatie naar een andere organisatie. Indien u bijvoorbeeld uw maandelijkse/wekelijkse nieuwsbrief door een externe partij laat versturen en u daartoe namen en adresgegevens van uw klanten (individuele natuurlijke personen) heeft verstrekt, dan is er sprake van doorgifte van persoonsgegevens.
Privacy Shield
Door inwerkingtreding van het Privacy Shield is doorgifte van persoonsgegevens naar de Verenigde Staten wel weer toegestaan mits het Amerikaanse bedrijf Privacy Shield-gecertificeerd is. Vanaf 1 augustus 2016 kunnen Amerikaanse bedrijven zich hiervoor online registreren.
Het Privacy Shield zou in vergelijking tot de Safe Harbor Principles betere waarborgen voor de bescherming van de persoonsgegevens van Europeanen moeten bevatten. Of dit in de praktijk daadwerkelijk ook zo is, moet uiteraard nog blijken.
In het Privacy Shield is geregeld dat voor Amerikaanse bedrijven strengere verplichtingen zijn opgenomen voor het opslaan van persoonsgegevens van Europeanen. Verder dient een Privacy Shield-gecertificeerd Amerikaans bedrijf het privacybeleid (ook wel een privacy policy genoemd) te publiceren op de website. Massasurveillance over de persoonsgegevens van Europeanen in de hoop toevallig illegale activiteiten te ontdekken is niet meer toegestaan. Slechts onder strikte voorwaarden mogen (onder andere) inlichtingendiensten zoals de NSA nu de persoonsgegevens van Europeanen bekijken. Verder wordt nog een speciale ombudsman aangewezen die de klachten over verwerking van de persoonsgegevens van Europeanen behandelt.
Wat betekent dit voor u?
Voor de compliance van uw bedrijf is het belangrijk om te weten of de door u verzamelde persoonsgegevens op servers in de Verenigde Staten zijn opgeslagen. Zo ja, dan zijn er meerdere mogelijkheden voor wettelijk toegestane doorgifte van persoonsgegevens naar de Verenigde Staten. De belangrijkste daarvan zijn dat (1) het Amerikaanse bedrijf Privacy-Shield is gecertificeerd óf (2) de Standard Contractual Clauses worden gebruikt óf (3) de Autoriteit Persoonsgegevens een vergunning heeft afgegeven. Indien doorgifte van de persoonsgegevens wettelijk niet is toegestaan dan riskeert u dat de Autoriteit Persoonsgegevens voor iedere overtreding een boete van maximaal EUR 20.500,– kan opleggen.