Wat is Privacy Shield en wat houdt het in?
Het EU-U.S. Privacy Shield is een overeenkomst tussen het Amerikaanse ministerie van Economische Zaken en de Europese Commissie over de uitwisseling van persoonsgegevens tussen bedrijven in de EU en de VS. Het Privacy Shield is sinds 1 augustus 2016 van kracht en vervangt het Safe Harbor-verdrag.
Wat staat er in het EU-U.S. Privacy Shield:
Regels voor Amerikaanse bedrijven die Europese persoonsgegevens verwerken. De belangrijkste regels in het kort:
- Privacy policy: de privacy policy moet voldoen aan de Privacy Shield Principles en een link bevatten naar de website van het Privacy Shield;
- Klachtenprocedure: er moet een kosteloze en onafhankelijke klachtenprocedure zijn, en klachten moeten binnen 45 dagen worden beantwoord;
- Data minimalisatie: het gebruik van persoonsgegevens moet beperkt zijn tot gegevens die noodzakelijk zijn voor het aangegeven doel;
- Strikte voorwaarden data-doorgifte aan derden: data-doorgifte aan derden is alleen toegestaan: (1) voor beperkte en expliciet benoemde doeleinden die in overeenstemming zijn met de doeleinden waarvoor de betrokkene toestemming heeft gegeven, en (2) op basis van een contract met die derde waarin staat dat de derde partij zich ook houdt aan de Privacy Shield Principles;
- Transparantie: als een bedrijf door de toezichthouder is aangesproken omdat zij niet aan de regels voldoet, dan wordt dit openbaar gemaakt, evenals de maatregelen die het bedrijf vervolgens heeft genomen om wel aan de regels te voldoen.
De Amerikaanse overheid controleert regelmatig of bedrijven met een Privacy Shield certificering zich aan de regels houden. Bij een overtreding kan de overheid het certificaat intrekken.
Er is een Amerikaanse ombudsman waar Europese burgers een klacht kunnen indienen als zij vinden dat een Amerikaans bedrijf of de Amerikaanse overheid hun privacy schendt.
De Amerikaanse overheid heeft toegezegd: 1) geen grootschalige surveillance-acties meer uit te voeren op Europese persoonsgegevens en 2) de data van Europese bedrijven niet meer door de inlichtingendiensten te laten gebruiken.
Amerikaanse bedrijven moeten zich aanmelden voor het Privacy Shield programma. Zodra de bedrijven gecertificeerd zijn is het niet nodig bij uitwisseling van persoonsgegevens een Europese Modelcontract met hen af te sluiten. Er is een lijst met Privacy Shield deelnemers (https://www.privacyshield.gov/list). Dit lijkt op de oude Safe Harbor lijst, alleen is het geen zelfregulering maar vinden er controles plaats. Er wordt vastgelegd hoe men Europese data behandelt en hoe het doorgeven ervan moet plaatsvinden. Doorgifte naar derde bedrijven is alleen onder strenge verplichtingen mogelijk. Bedrijven die non-compliant zijn worden van de lijst verwijderd. Er komt een -Amerikaanse- ombudsman voor geschillen.