Persoonsgegevens in de Verenigde Staten; stand van zaken

Zowel op grond van het huidige privacyrecht (Wbp) als op grond van de Algemene Verordening Gegevensbescherming die per 25 mei 2018 in werking treedt, is het onder omstandigheden mogelijk om persoonsgegevens van Europese burgers te verwerken in de Verenigde Staten. In de praktijk wordt daarbij vooral gebruikt gemaakt van de mogelijkheden die het EU/VS Privacy Shield en de modelcontracten van de Europese Commissie bieden. Beide instrumenten kwamen recent in het nieuws!

Evaluatie EU/US Privacy Shield

Tot 2015 was het toegestaan om persoonsgegevens van Europese Burgers te laten verwerken door een Amerikaans bedrijf, indien dit Amerikaanse bedrijf zich gecommitteerd had aan de zogenaamde Safe Harbor Principles. Op 6 oktober 2015 heeft het Hof van Justitie (HvJ) deze principes echter ongeldig verklaard, omdat volgens de Europese rechter de Safe Harbor Principles Europese burgers onvoldoende beschermde tegen inmenging van de Amerikaanse overheid.

Nadien zijn de Amerikaanse overheid en de Europese Commissie in onderhandeling getreden over een nieuwe set met voorwaarden; het Privacy Shield. Het Privacy Shield gaat uit van een vergelijkbare systematiek als de Safe Harbor Principles; als een Amerikaans bedrijf zich heeft gecommitteerd aan het Privacy Shield, mogen persoonsgegevens van Europese burgers door dit bedrijf in de Verenigde Staten worden verwerkt.

Hoewel op het Privacy Shield de nodige kritiek is geuit, is het Privacy Shield in augustus 2016 in werking getreden. In het Privacy Shield heeft de Europese Commissie zich verplicht om het Privacy Shield jaarlijks te evalueren. Op 18 oktober 2017 is de eerste evaluatie van het Privacy Shield gepubliceerd.

Uit de evaluatie blijkt dat het Privacy Shield nog steeds een passend beschermingsniveau biedt voor Europese burgers wiens persoonsgegevens worden verwerkt door Amerikaanse bedrijven. Wel bevat de evaluatie een aantal aanbevelingen om het Privacy Shield te verbeteren, waaronder de navolgende:

• meer proactief en regelmatig toezicht door het Amerikaanse ministerie van Handel om te controleren of bedrijven voldoen aan hun verplichtingen in het kader van het privacyschild;
• betere voorlichting aan particulieren in de EU over hoe zij hun rechten op grond van het privacyschild kunnen doen gelden, met name hoe zij een klacht kunnen indienen;
• wettelijk vastleggen van de bescherming voor niet-Amerikanen die de Presidential Policy Directive 28 (PPD-28) biedt, in het kader van het lopende debat in de VS over de hervorming van Section 702 van de Foreign Intelligence Surveillance Act (FISA);
• zo spoedig mogelijk een permanente privacyschildombudsman benoemen en ervoor zorgen dat de openstaande posten in de Privacy and Civil Liberties Oversight Board (PCLOB) worden ingevuld.

Nieuwe zaak over modelcontracten bij Hof van Justitie

Het Privacy Shield is niet de enige grondslag op basis waarvan persoonsgegevens van Europese burgers verwerkt kunnen worden in de Verenigde Staten. Ook als met een Amerikaans bedrijf een door de Europese Commissie gepubliceerd modelcontract wordt gesloten, is het toegestaan om persoonsgegevens van Europese burgers te verwerken in de Verenigde Staten.

Ook deze modelcontracten liggen onder vuur. De Oostenrijker Max Schrems, die eerder al de procedure aanhangig maakte die uiteindelijke leidde tot de vernietiging van de Safe Harbor Principles, is een procedure tegen Facebook gestart waarin de modelcontracten van de Europese Commissie ter discussie zijn gesteld. Deze procedure is in eerste instantie gevoerd voor de Ierse rechter. Op 3 oktober 2017 heeft de Irish High Court een uitspraak gewezen, waarin de Ierse rechter de zaak heeft doorverwezen naar het HvJ. Vermoedelijk zal het HvJ zich dus ook gaan uitlaten over de rechtsgeldigheid van de modelcontracten.

Het verwerken van persoonsgegevens van Europese burgers in de Verenigde Staten blijft de gemoederen bezig houden. Mocht u vragen hebben over dit onderwerp hebben, neem dan gerust contact met mij op.

Dit blog is ook verschenen op LinkedIn.