De Europese privacyregels schrijven voor dat persoonsgegevens niet zomaar naar landen buiten Europa mogen worden verzonden. Een van de uitzonderingen waarbij dat wél mag, is als een land buiten Europa gelijkwaardige privacybescherming heeft als landen in de Europese Unie. Wanneer een land buiten de Europese Unie een gelijkwaardige privacybescherming heeft, geeft de Europese commissie een adequacy decision af, waardoor het mogelijk wordt voor bedrijven de persoonsgegevens te versturen naar een land buiten Europa. De meest bekende adequacy decision is het Safe Harbour verdrag.
Safe Harbour
Op basis van het Safe Harbour verdrag mochten persoonsgegevens vanuit Europa verstuurd worden naar Amerika en mochten Amerikaanse bedrijven als Google en Facebook persoonsgegevens opslaan op Amerikaanse servers. Hieraan kwam een einde toen Edward Snowden onthulde dat de Amerikaanse geheime diensten niet echt zorgvuldig met de persoonsgegevens omgingen en de Oostenrijker Max Schrems van mening was dat zijn persoonsgegevens niet veilig waren op de Amerikaanse servers. De heer Schrems spande een rechtszaak aan en in oktober 2015 kreeg de heer Schrems van het Europese Hof van Justitie gelijk. Het Safe Harbour verdrag is daarop door het Europese Hof van Justitie vernietigd. Amerika en Europa waren op zijn zachtst gezegd niet blij met de vernietiging van het Safe Harbour verdrag en hebben sindsdien onderhandeld over nieuwe voorwaarden waaronder persoonsgegevens weer konden worden uitgewisseld en opgeslagen op servers in Amerika.
Privacy Shield
Eind februari 2016 is door Amerika en Europa een belangrijk akkoord gesloten over het opslaan van persoonsgegevens. Het akkoord heet het Privacy Shield. Het Privacy Shield moet ervoor zorgen dat Amerikaanse bedrijven als Google en Facebook de persoonsgegevens weer mogen opslaan op de servers, maar moet ook zorgen dat de privacy wel gewaarborgd wordt en blijft. Het Privacy Shield moet door de Europese Commissie ter goedkeuring worden voorgelegd aan het Europese Hof van Justitie.
Maar zijn de persoonsgegevens nu afdoende beschermd met het Privacy Shield?
Artikel 29-werkgroep
De Artikel 29-werkgroep is het onafhankelijke advies -en overlegorgaan van Europese privacytoezichthouders. De werkgroep speelt een belangrijke rol in de totstandkoming van Europees beleid voor de bescherming van persoonsgegevens.
Advies artikel 29-werkgroep
De Artikel 29-werkgroep heeft het Privacy Shield bestudeerd en heeft vorige week aan de Europese Commissie kenbaar gemaakt dat zij sterke zorgen heeft over de inhoud van het Privacy Shield. De artikel 29-werkgroep heeft aan de Europese Commissie voorgesteld een aantal wijzigingen door te voeren. Het advies van de artikel 29-werkgroep is niet bindend voor de Europese Commissie, maar de kans bestaat dat als de bezwaren van de artikel 29-werkgroep niet worden overgenomen het Europese Hof van Justitie de Privacy Shield afkeurt. Naar verwachting neemt de Commissie vóór de zomer een besluit.
Conclusie
Het is nog maar de vraag of het Privacy Shield voldoende waarborgen biedt voor de uitwisseling van persoonsgegevens tussen Amerika en Europa. De tijd zal het leren.
Joke Schraagen
Marjolein Meijer
David Vrijbergen