Privacy van burgers staat hoog op de agenda in Europa. Oktober 2015 werd door het Europees Hof van Justitie een streep gezet door het Safe Harbor-verdrag met Amerika én eind december werd een akkoord bereikt door de Europese organen over de nieuwe Algemene Verordening Gegevensbescherming. Twee ontwikkelingen met directe gevolgen voor organisaties.
Safe Harbor
De Safe Harbor-afspraak stamt uit 2000 en bestempelde de Verenigde Staten als ‘veilige haven’ voor persoonsgegevens van Europese burgers. Duizenden Europese bedrijven die transatlantisch zaken doen, gebruikten deze afspraak als basis om op grote schaal persoonsgegevens door te geven naar de VS. Toen bleek dat Amerikaanse veiligheidsdiensten bij de persoonsgegevens konden komen van Europese burgers, kwam de afspraak in een ander daglicht te staan. Het Europees Hof van Justitie verklaarde om die reden de Safe Harbor-afspraak ongeldig. Het transatlantisch gegevensverkeer vindt sindsdien, indien er geen andere maatregelen zijn genomen, onrechtmatig plaats. Het is essentieel dat de VS en de EU op korte termijn nieuwe afspraken maken over het transatlantisch gegevensverkeer.
Die afspraken lijken nu in zicht. Afgelopen 2 februari hebben de Europese Commissie en de VS een nieuw raamwerk voorgesteld op basis waarvan de trans-Atlantische doorgifte van persoonsgegevens opnieuw rechtmatig kan plaatsvinden. Het nieuwe raamwerk heet niet langer ‘Safe Harbour’ maar draagt de naam ‘EU-US Privacy Shield’. Als het allemaal vlot loopt treedt dit ‘privacyschild’ over drie maanden in werking.
De Europese Commissie zal nu in de komende weken eerst een zogenoemd ‘adequacy-besluit’ voorbereiden, waarin de Europese Commissie aanneemt dat bedrijven die zich aansluiten bij het raamwerk geacht worden een passend beschermingsniveau te bieden. Dit besluit zal dan voor advies worden voorgelegd aan de Artikel 29 Werkgroep (het adviesorgaan waarin alle nationale toezichthouders op het gebied van gegevensbescherming zetelen). In de tussentijd zal de VS maatregelen treffen om nieuwe procedures (zie hierna) en een ombudsman in te stellen. Wat bedrijven in de tussenliggende twee maanden moeten doen is nog onduidelijk, maar het antwoord van de Europese Commissie en de Artikel 29 Werkgroep zal niet lang op zich laten wachten.
Wat houdt het nieuwe EU-US Privacy Shield in?
De ‘EU-US Privacy Shield’ zal strengere privacyregels opleggen aan bedrijven dan het voormalige Safe Harbor raamwerk. Ook krijgen Europese burgers meer bescherming. Zo krijgen burgers die menen dat bedrijven misbruik hebben gemaakt van hun persoonsgegevens, een verhaalsmogelijkheid. Onduidelijk is nu nog of deze verhaalsmogelijkheid kan worden uitgeoefend tegen het Europese data-exporterend bedrijf of tegen het Amerikaanse data-importerend bedrijf. ‘Bedrijven’ moeten op een klacht van een burger reageren binnen de daartoe gestelde termijn. Op basis van het nieuwe raamwerk kunnen de Europese toezichthouders klachten van burgers ook doorverwijzen naar het ‘Departement of Commerce en de Federal Trade Commission’.
Ten slotte, krijgen Europese burgers de mogelijkheid om klachten wat betreft de mogelijke toegang tot hun persoonsgegevens door Amerikaanse autoriteiten voor te leggen aan een nieuw in te roepen Amerikaanse Ombudsman. De ‘Department of Commerce’ zal ook effectiever dan voorheen toezicht houden op naleving van de regels door de bij het raamwerk aangesloten bedrijven. Elk bedrijf dat HR-data verwerkt afkomstig uit de EU én aangesloten is bij het raamwerk moet bovendien (handhavings)besluiten van de Europese toezichthouders naleven. Ook heeft de VS de Europese Commissie bindende, schriftelijke waarborgen gegeven dat massa of blinde surveillance wordt uitgesloten en er beperkingen worden gesteld aan en toezicht komt op de toegang tot persoonsgegevens door de Amerikaanse autoriteiten. Dit toezicht vindt plaats door een jaarlijks ‘joint review’ tussen de ‘Department of Commerce’ en de Europese Commissie.
Ook dataverkeer naar andere landen buiten EU in gevaar
De eerder vermelde uitspraak van het Europees Hof van Justitie kan ook gevolgen hebben voor organisaties die persoonsgegevens doorgeven aan andere landen buiten de EU. Nationale toezichthouders mogen op grond van de uitspraak van het hof namelijk ook in die gevallen onderzoeken of een internationale gegevensoverdracht voldoet aan de Europese privacywetgeving. Dat is zelfs zo als de Europese Commissie al verklaard heeft dat een derde land een passend beschermingsniveau biedt.
Kortom, dit is het moment om in detail na te gaan hoe uw organisatie de internationale doorgiftes heeft geregeld en om te checken of er additionele maatregelen genomen moeten worden.
Algemene Verordening Gegevensbescherming (AVG)
Boete 4% van werelwijde jaaromzet
De AVG, waarover de Europese Raad, het Parlement en de Commissie een akkoord hebben bereikt, zal waarschijnlijk in de eerste helft van 2016 nog aan het Parlement en de Raad ter vaststelling worden voorgelegd. De nieuwe regels treden dan in 2018 in werking. Een organisatie die de regels uit de AVG overtreedt kan daarvoor een substantiële boete krijgen. Deze boete kan oplopen tot wel 4 procent van de wereldwijde jaaromzet, met een maximum van 20 miljoen euro. Voor organisaties dus zaak om te zorgen dat ze hun gegevensverwerkingsbeleid de komende periode alvast in lijn gaan brengen met de nieuwe regels, zodat ze in 2018 geheel verordening-proof zijn.
Zeggenschap over persoonsgegevens terug bij burger
De AVG heeft als hoofddoel om Europese burgers de controle over hun persoonsgegevens terug te geven. Ze krijgen bijvoorbeeld meer informatie over hoe hun gegevens worden verwerkt en welke gegevens worden opgeslagen. Ook wordt het voor personen makkelijker om data van de ene dienstverlener over te laten dragen naar de andere. Daarnaast is hun ‘recht om vergeten te worden’ verduidelijkt.
Wat betekent de Algemene Verordening Gegevensbescherming voor organisaties?
De AVG voorziet in één pakket van privacyregels. Deze regels moeten innovatie stimuleren en het voor bedrijven makkelijker en goedkoper maken om zaken te doen in de EU.
Deze verordening schept echter ook allerlei nieuwe verplichtingen, waaronder:
- Functionaris gegevensbescherming – Sommige organisaties moeten een functionaris gegevensbescherming aanstellen als het bijvoorbeeld tot hun kernactiviteit behoort om op grote schaal persoonsgegevens te verwerken.
- Passende veiligheidsmaatregelen – Organisaties die ‘verantwoordelijke’ zijn, en de organisaties die de persoonsgegevens namens hen verwerken, moeten ‘passende beveiligheidsmaatregelen’ toepassen.
- Melding bij datalek – In geval van een datalek moeten organisaties zo snel mogelijk melding doen bij de persoon in kwestie en bij de nationale bevoegde toezichthouder.
- Privacy by design – Privacywaarborgen moeten vanaf het eerste ontwikkelingsstadium worden ingebouwd in producten en diensten.
Meer weten? Kom naar de KVdL Update: Algemene Verordening Gegevensbescherming
Wilt u weten hoe u uw organisatie kunt voorbereiden op de Algemene Verordening Gegevensbescherming? De privacy-advocaten van Kennedy Van der Laan vertellen u er alles over op dinsdag 15 maart a.s. Ga voor meer informatie en inschrijven naar: KVdL Update: Algemene Verordening Gegevensbescherming.