Op vrijdag 7 oktober heeft Biden een Executive order over ‘Enhancing Safeguards for United States Signals Intelligence Activities’ getekend. Zoals uit ons eerdere blog is gebleken, zou deze regeling ervoor moeten zorgen dat de persoonsgegevens van burgers uit de EU beter beschermd zouden zijn in de VS. Er komen strengere maatregelen voor de Amerikaanse inlichtingendiensten om er zo voor te zorgen dat zij minder gemakkelijk toegang hebben tot de persoonsgegevens. In ons vorige blog gaven wij ook aan dat het te betwijfelen valt of de nieuwe maatregelen tot een beter resultaat gaan leiden dan voorheen.
Het Privacy Shield meer in detail
Dezelfde dag heeft de Europese Commissie een FAQ geplaatst waarin een aantal vragen met betrekking tot het nieuwe Privacy Shield worden beantwoord. Zo wordt onder anderen meer in detail uitgelegd wat er gaat veranderen ten opzichte van het oude Privacy Shield. Het nieuwe besluit zal een twee gelaagd verhaalmechanisme hebben voor EU-burgers, met een onafhankelijke en bindende bevoegdheid.
EU-burgers kunnen onder de eerste laag van dit mechanisme een klacht indienen bij de ‘Civil Liberties Protection Officer’. Dit is de persoon die verantwoordelijk is voor de naleving door Amerikaanse inlichtingendiensten van privacy en fundamentele rechten.
Onder de tweede laag van het mechanisme kan er in beroep worden gegaan tegen het besluit van de ‘Civil Liberties Protection Officer’ bij een nieuw ‘Data Protection Review Court’ (DPRC). Dit zal wederom een onafhankelijk orgaan zijn, die geen instructies van de overheid hoeft op te volgen. Ook zal het DPRC bindende beslissingen mogen nemen over de persoonsgegevens, zoals overgaan tot verwijdering.
De Europese Commissie is van mening dat dit grote verbeteringen zijn ten opzichte van het oude Privacy Shield. De nieuwe verhaalsmogelijkheden zijn meeromvattend en onafhankelijker. Ook is de nieuwe DPRC deskundiger en heeft het meer bevoegdheid. Die mening wordt door vele gedeeld, maar er zijn ook critici. Zo heeft de Duitse DPA als eerste zijn mening uitgebracht over het nieuwe besluit. Hij stelt in zijn statement dat het nog maar de vraag is of de aanvullende waarborgen die door het besluit worden geboden, voldoende zijn om de door het HvJ-EU gespecificeerde normen volledig na te komen. Hij uit zijn zorgen over in hoeverre het besluit de privacy-waarborgen uit de EU wel kan naleven, aangezien dit niet is aangenomen door de Amerikaanse wetgever. Ook vraagt hij zich af of het DPRC wel voldoende onafhankelijk zal zijn. Het is dus nog maar de vraag of het nieuwe Privacy Shield zoveel beter zal zijn dan de eerste. Wij betwijfelen dat.
De volgende stappen
De Commissie zal de komende periode een concept adequaatheidsbesluit gaan opstellen, tezamen met het implementatieplan hiervan. Allereerst zal de Commissie hiervoor de mening van the European Data Protection Board (EDPB) moeten vragen en groen licht moeten krijgen van afgevaardigden van de lidstaten. Daarnaast heeft het Europees Parlement ook nog het recht tot toetsing van de adquaatheidsbesluiten.
Indien alle voorgaande stappen juist zijn doorlopen, kan de Commissie een nieuw adequaatheidsbesluit maken. Dit besluit zal ervoor zorgen dat de gegevens vrijelijk door kunnen stromen tussen de EU en Amerikaanse bedrijven die hiertoe gecertificeerd zijn door het Ministerie.
Hulp nodig?
Het is begrijpelijk dat dit nieuwe Privacy Shield veel vragen en onduidelijkheden met zich meebrengt. Heb jij of heeft jouw bedrijf hier hulp bij nodig? Wij van Privacycoaches staan uiteraard voor jou klaar! Stuur ons gerust een e-mail.