Hét grote privacynieuws van vorig jaar kwam van het Hof van Justitie van de Europese Unie, dat in de zaak Schrems het “Safe Harbour” framework ongeldig verklaarde. Safe Harbour vormde sinds jaar en dag het juridisch vehikel waaronder veel transatlantische verwerkingen van persoonsgegevens plaatsvonden. Intussen is er hard gewerkt aan een opvolger voor Safe Harbour onder de naam “Privacy Shield”. In dit artikel een update over de situatie rondom transatlantische transfers van persoonsgegevens.
Al voor de uitspraak in de zaak Schrems waren de Europese Commissie en het US Department of Commerce in gesprek over een opvolger van Safe Harbour. Die onderhandelingen zijn in een stroomversnelling geraakt, en op 2 februari is er een akkoord gekomen tussen partijen. Daarover was tot diep in de nacht en onder hoge tijdsdruk onderhandeld. Over het resulterende Privacy Shield is het laatste woord nog niet gezegd. Zo is er nog een besluitvormingsprocedure waarbij het Europees Parlement, de Europese privacytoezichthouders (verenigd in de Art. 29 Werkgroep) en de regeringen van de Europese lidstaten (verenigd in de Artikel 31 Commissie) geconsulteerd moeten worden. Laatstgenoemde heeft een vetorecht.
De Europese Toezichthouder Gegevensbescherming heeft reeds vrij scherpe kritiek geuit op het Privacy Shield. De Toezichthouder merkt op dat er weliswaar een stap in de goede richting wordt gezet, zowel door de EU als door de VS. Er wordt nu door de VS nu meer openheid verschaffen over de mate waarin er massasurveillance plaatsvindt door veiligheidsdiensten ten aanzien van Europese persoonsgegevens die de Amerikaanse grenzen passeren. Echter, er zijn nog veel te weinig waarborgen voor de rechten van Europese burgers in dezen. Inmiddels is er ook meer, maar nog geen volledige, duidelijkheid ontstaan over de standpunten van Werkgroep, Commissie en het Europees Parlement.
De gezamenlijke nationale toezichthouders hebben in april middels een lijvig document dat bijna zestig pagina’s beslaat hun standpunt bepaald. Op vrijwel ieder getoetst punt, wordt in goedkeurende bewoordingen opgemerkt dat er significante verbeteringen zijn ten opzichte van Safe Harbour. Vervolgens wordt vriendelijk geconcludeerd dat er nog grote vragen blijven bestaan.
Dit is een ernstig voorteken. Ieder van de leden van de zogenoemde Artikel 29 Werkgroep is zelfstandig bevoegd om Privacy Shield te onderzoeken en ongeldig te verklaren en verzoeken om opheldering moeten dan ook serieus genomen worden.
Het Europees Parlement heeft op 26 mei een motie aangenomen waarin het zich a) achter de mening van de Artikel 29 Werkgroep schaart en b) in feite de Europese Commissie oproept om te heronderhandelen met het US Department of Commerce.
De Artikel 31 Commissie, die een vetorecht heeft (maar in tegenstelling tot de leden van de Artikel 29 Werkgroep na afloop van de besluitvorming weinig invloed meer kan uitoefenen) heeft nog geen standpunt ingenomen en zal dat pas eind juni doen. Maar ook als deze geen gebruik maakt van haar vetorecht, is door de bemerkingen van de Artikel 29 Werkgroep dit Privacy Shield akkoord al op losse schroeven komen te staan.
Op dit ogenblik is het meest veilige juridische instrument om transfer van persoonsgegevens naar de Verenigde Staten mogelijk te maken dat van de Standaardclausules van de Europese Commissie, nu Safe Harbour ongeldig is verklaard en Privacy Shield nog niet in werking is getreden (en misschien zelfs nog niet af is en/of weer snel ongeldig verklaard zal worden). Echter, inmiddels heeft het in Ierland gevoerde vervolg van de Schrems-zaak teken Facebook een nieuwe prejudiciële vraag aan het Hof van Justitie opgeleverd. Die betreft nu juist de Standaardclausules van de Europese Commissie. Hoe snel het Hof hier een antwoord op gaat geven is onduidelijk, maar veel privacy-experts verwachten dat het Hof ook deze van tafel veegt.
De conclusie voor de praktijk is dan ook dat zaak is bij trans-Atlantisch uitwisseling van Europese persoonsgegevens er voor te zorgen dat er een noodplan ligt voor het geval de juridische instrumenten die dit afdekken weg komen te vallen. Want deze zullen kwetsbaar blijven zolang de Verenigde Staten geen breed wettelijk kader voor privacy kent, mét waarborgen die op informatie in plaats van de huiselijke sfeer gericht zijn.