Door Iléne Baltes, 20-08-2014
Update 12-6-2016 : Privacy Shield heeft het Safe Harbor verdrag vervangen
De nieuwswebsite nu.nl berichtte onlangs over een klacht die bij de Amerikaanse consumentenautoriteit (Federal Trade Commission, hierna “FTC”) is ingediend. De klacht, afkomstig van een Amerikaanse NGO, genaamd 'Center for Digital Democracy', betrof ruim dertig Amerikaanse bedrijven die de privacy-afspraken met Europa (Safe Harbor) niet zouden naleven. Zal de FTC boetes uitdelen om de waarde van het woord ‘Safe’ in Safe Harbor op te waarderen?
Wat is Safe Harbor?
De huidige Europese wetgeving (een richtlijn uit 1995, die binnenkort zal worden vervangen door een nieuwe verordening) stelt beperkingen aan de uitvoeringen van persoonsgegevens van EU-burgers naar landen die volgens haar geen adequate bescherming bieden. Vanwege de tussen de VS en de EU getroffen, bilaterale Safe Harbor regeling staat Amerika momenteel wel op de lijst van landen, die volgens de EU de online privacy voldoende waarborgen, hoewel de Amerikaanse wetgeving op zichzelf volgens haar onvoldoende bescherming biedt. Safe Harbor werd in het leven geroepen om de vrije handel tussen de werelddelen tegemoet te komen.
Ieder Amerikaans bedrijf dat aan de US Department of Commerce verklaart te voldoen aan de zeven privacy-beginselen, kan zichzelf certificeren onder de Safe Harbor regeling. Het ‘zelf-certificaat’ zou adequate privacy-bescherming moeten waarborgen, zodat de Amerikaanse bedrijven Europese persoonsgegevens mogen verwerken, zonder aanvullende voorwaarden.
De Safe Harbor regeling is echter veel bekritiseerd, omdat er niet of nauwelijks controle op de daadwerkelijke naleving ervan plaatsvindt. De ‘Artikel 29-werkgroep’, waarin Europese privacy-toezichthouders zijn verenigd, waarschuwde in een opinie over cloud computing uit 2012 al eens over de beperkte waarde van Safe Harbor. De werkgroep stelt dat een Europees bedrijf, dat zaken doet met een Amerikaanse cloud-provider, niet kan volstaan met slechts controleren of er een Safe Harbor-certificaat bestaat. Aanvullend zal het bedrijf onder andere een bewerkersovereenkomst (data processing agreement) moeten sluiten, waarbij de beveiliging van persoonsgegevens wordt geregeld. Sinds de onthullingen die Edward Snowden sinds 2013 heeft gedaan, probeert de EU politieke druk uit te oefenen om de regeling aan te scherpen en het vertrouwen te herstellen.
Handhavend optreden?
Tegen deze achtergrond wordt er uitgekeken naar het optreden van de FTC naar aanleiding van de ingediende klacht. Van de handhavingsoptredens met betrekking tot de Safe Harbor regeling houdt de FTC een lijst bij. Deze leert dat er in het verleden werd geschikt met de (vermeende) overtreders. FTC heeft daarbij bepaalde verplichtingen opgelegd via ‘consent orders’. Voorbeelden van overtreders op de lijst zijn onder andere Facebook, Myspace en Google. Zo werd Google in 2011 opgedragen om een uitgebreid privacy-programma te implementeren en zich bovendien gedurende de eerst volgende twintig jaar te laten controleren door onafhankelijke privacy-auditors. Verder heeft de FTC in januari 2014 twaalf bedrijven aangepakt, die hadden nagelaten om hun ‘zelf-certificaat’ tijdig te vernieuwen.
Met een kordaat optreden door de FTC in deze nieuwe zaak kan zij wellicht een stukje Europees vertrouwen in de Verenigde Staten terugwinnen, omdat zij daadwerkelijk een 'Safe Harbor' voor Europese gegevens (zullen) zijn.
Iléne Baltes, 20-08-2014
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.