Toelichting bij COM(2017)611 - Eerste jaarlijkse evaluatie van de werking van het EU-VS-privacyschild - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2017)611 - Eerste jaarlijkse evaluatie van de werking van het EU-VS-privacyschild. |
|---|---|
| bron | COM(2017)611   |
| datum | 18-10-2017 |
Inhoudsopgave
- Brussel, 18.10.2017
- VERSLAG VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD
- 2.BEVINDINGEN, CONCLUSIES EN AANBEVELINGEN
- 2.1.Bedrijven niet in het openbaar naar hun certificering in het kader van het privacyschild laten verwijzen vóórdat de certificering door het DoC is afgerond
- 2.2.DoC proactief en regelmatig laten nagaan of er valse beweringen worden gedaan
- 2.3.DoC permanent laten toezien op de naleving van de beginselen van het privacyschild
- 2.4.De voorlichting verbeteren
- 2.5. De samenwerking tussen rechtshandhavers verbeteren
- 2.6. Studie over geautomatiseerde besluitvorming laten verrichten
- 2.7. De bescherming die de PPD-28 biedt, verankeren in de Foreign Intelligence Surveillance Act
- 2.8. Spoedig een privacyschildombudsman benoemen
- 2.9. Spoedig de leden van het PCLOB benoemen en het PCLOB-verslag over de PPD-28 openbaar maken
- 2.10. Tijdiger en uitgebreider rapporteren van relevante ontwikkelingen door autoriteiten VS
COM(2017) 611 final
VERSLAG VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD
over de eerste jaarlijkse evaluatie van de werking van het EU-VS-privacyschild
{SWD(2017) 344 final}
over de eerste jaarlijkse evaluatie van de werking van het EU-VS-privacyschild
1.DE EERSTE JAARLIJKSE EVALUATIE – DOEL, VOORBEREIDING EN AANPAK
In haar besluit van 12 juli 2016 1 (hierna “het adequaatheidsbesluit” genoemd) heeft de Commissie geconstateerd dat het EU-VS-privacyschild (hierna “het privacyschild” genoemd) een passend beschermingsniveau biedt voor persoonsgegevens die vanuit de Europese Unie worden doorgegeven naar in de Verenigde Staten gevestigde organisaties.
Het privacyschild weerspiegelt de beginselen en vereisten die het Hof van Justitie heeft neergelegd in zijn arrest in de zaak Schrems 2 , waarbij het vorige veiligehavenkader ongeldig werd verklaard. Ten opzichte van de veiligehavenregeling bevat het een aantal nieuwe elementen, waardoor persoonsgegevens bij doorgifte naar de Verenigde Staten beter worden beschermd. Zo omvat het privacyschild strengere verplichtingen voor in het kader van het privacyschild gecertificeerde bedrijven, bijvoorbeeld wat betreft beperkingen aan de termijn gedurende welke een bedrijf persoonsgegevens mag bewaren (het zogeheten beginsel van gegevensbewaring) of de voorwaarden waaronder gegevens mogen worden gedeeld met derde partijen die buiten dit kader vallen (het zogeheten beginsel van verantwoording voor de verdere doorgifte). Ook voorziet het privacyschild in regelmatiger en grondiger toezicht door het Amerikaanse ministerie van Handel (Department of Commerce, DoC) en verbetert het de verhaalsmogelijkheden van EU-burgers aanzienlijk. Bovendien bouwt het privacyschild voort op specifieke schriftelijke verklaringen en toezeggingen van de regering van de VS dat er duidelijke beperkingen en waarborgen gelden voor de toegang tot in het kader van het privacyschild doorgegeven gegevens door overheidsdiensten ten behoeve van de nationale veiligheid, rechtshandhaving en andere doeleinden van openbaar belang. Hiertoe roept het privacyschildkader ook een heel nieuw verhaalsmechanisme in het leven, namelijk de ombudsman.
De Commissie heeft zich ertoe verbonden haar vaststelling van de adequaatheid jaarlijks te evalueren en daartoe onderwerpt zij de werking van het privacyschild aan een jaarlijkse evaluatie. De eerste jaarlijkse evaluatie van de werking van het privacyschild wordt met het onderhavige verslag afgesloten. Deze evaluatie bestreek alle aspecten van het EU-VS-privacyschild, d.w.z. de uitvoering, het beheer en de handhaving van alsook het toezicht op het privacyschildkader door de bevoegde autoriteiten en instanties van de Verenigde Staten, alsmede kwesties betreffende de toegang tot in het kader van het privacyschild doorgegeven persoonsgegevens door Amerikaanse overheidsdiensten ten behoeve van doeleinden van openbaar belang, en met name de nationale veiligheid. Ook is er in het kader van de evaluatie een dialoog gevoerd over het specifieke onderwerp van geautomatiseerde besluitvorming en zijn de ontwikkelingen beoordeeld die zich het afgelopen jaar hebben voorgedaan binnen het Amerikaanse rechtssysteem en die van invloed zouden kunnen zijn op de werking van het privacyschild.
Het privacyschildkader is operationeel sinds 1 augustus 2016. Aangezien dit het eerste jaar was dat het privacyschild operationeel is, heeft de Commissie bij haar jaarlijkse evaluatie met name getoetst of alle mechanismen en procedures van het kader – waarvan er veel speciaal zijn gecreëerd – volledig ten uitvoer zijn gelegd en functioneren overeenkomstig het adequaatheidsbesluit. Daarnaast heeft de Commissie met name gecontroleerd of en hoe de diverse autoriteiten van de VS die betrokken zijn bij de tenuitvoerlegging van het kader hun verklaringen en toezeggingen gestand hebben gedaan, wat betreft het beheer en het toezicht op de commerciële aspecten van het privacyschild en de toegang van de overheid tot persoonsgegevens. Het aantreden van een nieuwe Amerikaanse regering in januari 2017 maakte dit bijzonder relevant.
Ter voorbereiding van de jaarlijkse evaluatie heeft de Commissie informatie en feedback over de tenuitvoerlegging en werking van het privacyschildkader verzameld bij relevante belanghebbenden, meer in het bijzonder bij in het kader van het privacyschild gecertificeerde bedrijven via hun respectieve handelsorganisaties, en bij niet-gouvernementele organisaties (ngo’s) die actief zijn op het gebied van de grondrechten en met name digitale rechten en privacy. Ook heeft de Commissie schriftelijke informatie gevraagd en ontvangen van de Amerikaanse autoriteiten die betrokken zijn bij de tenuitvoerlegging van het kader, waaronder relevante documenten en materiaal.
De eerste jaarlijkse gezamenlijke evaluatie vond plaats op 18 en 19 september 2017 in Washington DC. De voorzet werd gegeven door Věra Jourová, commissaris voor Justitie, Consumentenrechten en Gendergelijkheid en Wilbur Ross, Amerikaans minister van Handel. De jaarlijkse evaluatie werd namens de EU verricht door vertegenwoordigers van het directoraat-generaal Justitie en consumentenzaken van de Europese Commissie. De EU-delegatie telde ook acht aangewezen vertegenwoordigers van de Groep artikel 29, het adviesorgaan waarin de nationale gegevensbeschermingsautoriteiten en de Europees Toezichthouder voor gegevensbescherming samenkomen.
Van Amerikaanse zijde werd aan de evaluatie deelgenomen door vertegenwoordigers van het DoC, de Federal Trade Commission (FTC), het ministerie van Vervoer, het ministerie van Buitenlandse Zaken, het bureau van de directeur van de nationale inlichtingendienst (Office of the Director of National Intelligence, ODNI) en het ministerie van Justitie, alsook door de waarnemend ombudsman, een lid van het Privacy and Civil Liberties Oversight Board (PCLOB) en het bureau van de inspecteur-generaal van de inlichtingendiensten (ICIG). Voorts werd er in het kader van de jaarlijkse evaluatie input geleverd door vertegenwoordigers van organisaties die onafhankelijke geschillenbeslechting aanbieden in het kader van het privacyschild, de American Arbitration Association als beheerder van het arbitragepanel van het privacyschild en enkele in het kader van het privacyschild gecertificeerde bedrijven.
Daarnaast is bij de jaarlijkse evaluatie gebruikgemaakt van openbaar materiaal, zoals rechterlijke beslissingen, uitvoeringsbepalingen en procedures van de desbetreffende Amerikaanse autoriteiten, verslagen en studies van ngo’s, transparantieverslagen uitgebracht door in het kader van het privacyschild gecertificeerde bedrijven, perspublicaties en andere mediaberichten.
De jaarlijkse evaluatie heeft uitgewezen dat de Amerikaanse autoriteiten de nodige structuren en procedures hebben ingevoerd om te waarborgen dat het privacyschild naar behoren functioneert. De certificeringsprocedure verloopt over de hele linie op bevredigende wijze en tot dusver zijn meer dan 2 400 bedrijven gecertificeerd. De Amerikaanse autoriteiten hebben de mechanismen en procedures voor het behandelen van klachten en voor handhaving opgezet ter waarborging van individuele rechten. Daarbij gaat het onder meer om de nieuwe aanvullende verhaalsmogelijkheden voor EU-burgers, zoals het arbitragepanel en het ombudsmanmechanisme. Wat het laatste punt betreft, is een waarnemend ombudsman aangewezen nadat in januari 2017 de nieuwe regering aantrad; er is echter nog geen permanente ombudsman benoemd. De samenwerking met de Europese gegevensbeschermingsautoriteiten is geïntensiveerd. Wat betreft de toegang tot persoonsgegevens door overheidsdiensten ten behoeve van de nationale veiligheid, blijven er aan Amerikaanse zijde relevante waarborgen van toepassing, zoals met name die welke zijn gebaseerd op de in 2014 uitgevaardigde Presidential Policy Directive 28, waarin beperkingen en waarborgen zijn vastgesteld voor het gebruik van persoonsgegevens door nationale veiligheidsinstanties, ongeacht de nationaliteit van de betrokkene. In dit verband zij ook opgemerkt dat Section 702 van de Foreign Intelligence Surveillance Act (FISA) op 31 december 2017 komt te vervallen en dat hervormingsvoorstellen thans worden besproken in het Amerikaanse Congres.
De gedetailleerde feitelijke bevindingen inzake de werking van alle aspecten van het privacyschildkader na het eerste jaar dat het kader operationeel is, worden gepresenteerd in het werkdocument van de diensten van de Commissie over de jaarlijkse evaluatie van de werking van het EU-VS-privacyschild (SWD(2017) 344 final), waarvan het onderhavige verslag vergezeld gaat.
Op basis van die bevindingen concludeert de Commissie dat door de Verenigde Staten nog steeds een passend beschermingsniveau wordt gewaarborgd voor persoonsgegevens die in het kader van het EU-VS-privacyschild vanuit de Unie worden doorgegeven naar organisaties in de Verenigde Staten.
Tegelijkertijd is de Commissie van mening dat de praktische tenuitvoerlegging van het privacyschildkader verder kan worden verbeterd om ervoor te zorgen dat de daarin vervatte garanties en waarborgen ook op de beoogde wijze blijven functioneren.
Daartoe doet de Commissie de navolgende aanbevelingen.
2.1.Bedrijven niet in het openbaar naar hun certificering in het kader van het privacyschild laten verwijzen vóórdat de certificering door het DoC is afgerond
De jaarlijkse evaluatie heeft uitgewezen dat bedrijven die een aanvraag hebben ingediend voor certificering in het kader van het privacyschild, maar waarvan de certificering nog niet door het DoC is afgerond, al in het openbaar mogen verwijzen naar hun certificering in het kader van het privacyschild. Daardoor kan een discrepantie bestaan tussen de informatie die openbaar is en de privacyschildlijst van het DoC, waarop de bedrijven pas worden geplaatst als de certificering is afgerond. Een dergelijke discrepantie schept onzekerheid voor personen en bedrijven in de EU die gegevens willen doorgeven naar de VS, vergroot het risico van valse beweringen van deelname en tast de geloofwaardigheid van het hele kader aan.
Derhalve beveelt de Commissie aan om het bedrijven niet toe te staan openbare verklaringen over hun certificering in het kader van het privacyschild te doen uitgaan, voordat het DoC de certificering heeft afgerond en het bedrijf op de privacyschildlijst heeft geplaatst. De informatie over het certificeringsproces die het DoC aan bedrijven verstrekt, bijvoorbeeld via de aan het privacyschild gewijde website, zou moeten worden gewijzigd om te verduidelijken dat bedrijven niet publiekelijk gewag mogen maken van hun deelname aan de kaderregeling vóórdat zij op de privacyschildlijst zijn geplaatst.
De Commissie beveelt aan dat het DoC proactief en op regelmatige basis nagaat of er valse beweringen over deelname aan het privacyschild worden gedaan, niet alleen in het kader van het certificeringsproces, d.w.z. ten aanzien van bedrijven waarvoor de certificering wel is aangevraagd, maar nog niet is afgerond, en die niettemin al beweren aan het kader deel te nemen, maar ook meer algemeen ten aanzien van bedrijven die de certificering nooit hebben aangevraagd, maar het wel publiekelijk laten voorkomen alsof zij aan de vereisten van het kader voldoen. Het DoC zou daartoe aanvullende maatregelen moeten nemen en onder meer op het internet moeten controleren. Zoals is gebleken uit de ervaring die is opgedaan met de voorganger van het privacyschild, nl. het veiligehavenprogramma, zijn misleidende praktijken niet ongebruikelijk en kunnen zij de geloofwaardigheid en betrouwbaarheid van het systeem als geheel aantasten.
De Commissie beveelt aan dat het DoC op regelmatige basis nalevingscontroles uitvoert. Nalevingscontroles zouden bijvoorbeeld kunnen worden verricht aan de hand van vragenlijsten die aan een representatieve steekproef van gecertificeerde bedrijven worden toegezonden en betrekking hebben op een specifiek aspect (bv. verdere doorgifte, gegevensbewaring). Ook zou het DoC stelselmatig kunnen vragen om toezending van de jaarlijkse nalevingsverslagen (die kunnen bestaan uit een zelfbeoordeling of een externe nalevingscontrole) wanneer gecertificeerde bedrijven opnieuw willen worden gecertificeerd. Het DoC zou in dat laatste geval de jaarlijkse nalevingsverslagen kunnen gebruiken voor het identificeren van mogelijke nalevingskwesties die wellicht om nadere vervolgmaatregelen vragen voordat een bedrijf opnieuw kan worden gecertificeerd; ook kan het DoC zo vaststellen of de werking van het kader meer systemische tekortkomingen vertoont die moeten worden aangepakt.
De Commissie moedigt zowel het DoC als de gegevensbeschermingsautoriteiten aan om de voorlichtingsinspanningen die zij in het afgelopen jaar al hebben verricht, voort te zetten en verder op te voeren.
Teneinde EU-burgers doeltreffender te beschermen, zouden de gegevensbeschermingsautoriteiten in samenwerking met de Commissie hun inspanningen moeten intensiveren om EU-burgers te informeren over de wijze waarop zij hun rechten uit hoofde van het privacyschild kunnen uitoefenen, en met name hoe zij een klacht kunnen indienen.
De Commissie beveelt aan dat het DoC en de gegevensbeschermingsautoriteiten samenwerken, zo nodig ook met de FTC, om richtsnoeren te ontwikkelen inzake de uitlegging van een aantal begrippen inzake het privacyschild die nadere toelichting behoeven. Dit zou bevorderlijk zijn voor de samenwerking tussen de autoriteiten die het kader aan beide zijden van de Atlantische Oceaan ten uitvoer leggen en handhaven, voor de ontwikkeling van convergentie in de uitlegging van de regels van het privacyschild en voor de rechtszekerheid van bedrijven.
Het beginsel van verantwoording voor de verdere doorgifte en de definitie van “personeelsgegevens” zijn bij de eerste jaarlijkse evaluatie naar voren gekomen als voorbeelden van begrippen die wellicht voor extra verduidelijking vatbaar zijn.
Om nauwkeuriger conclusies te kunnen trekken over geautomatiseerde besluitvorming, mede met het oog op de volgende jaarlijkse evaluatie, zal de Commissie een studie laten verrichten om het nodige bewijsmateriaal te verzamelen en nader de relevantie te beoordelen van geautomatiseerde besluitvorming voor doorgiften op basis van het privacyschild.
Het binnenkort te houden debat over hernieuwde toestemming voor Section 702 van de Foreign Intelligence Surveillance Act (FISA) biedt de regering en het Congres van de VS een unieke gelegenheid om de in de FISA opgenomen bepalingen inzake privacybescherming te versterken. In dit kader hoopt de Commissie dat het Congres gunstig zal oordelen over het in de FISA verankeren van de in Presidential Policy Directive (PPD)-28 geboden bescherming ten aanzien van niet-Amerikanen, met het oog op het waarborgen van de stabiliteit en continuïteit van deze bescherming. Verdere hervormingen, wat betreft zowel materiële beperkingen als procedurele waarborgen, zouden ten uitvoer moeten worden gelegd in de geest van de PPD-28, zodat ongeacht nationaliteit of land van verblijf bescherming wordt geboden.
De Commissie verzoekt de regering van de VS om te bevestigen dat zij de politieke wil heeft om gestalte te geven aan het ombudsmechanisme, als belangrijk onderdeel van het privacyschildkader als geheel, door zo spoedig mogelijk een permanente ombudsman te benoemen.
Als een onafhankelijke instantie binnen de uitvoerende tak vervult de PCLOB een belangrijke functie ten aanzien van de bescherming van privacy en van burgerlijke vrijheden op het gebied van terrorismebestrijdingsbeleid en de uitvoering daarvan. De Commissie beveelt aan dat de regering van de VS snel de ontbrekende leden van de PCLOB benoemt, zodat de PCLOB zijn functie in alle opzichten kan vervullen.
Aangezien de PPD-28 relevant is voor de beperkingen en waarborgen die van toepassing zijn op de toegang van de overheid met betrekking tot inlichtingen uit berichtenverkeer, en derhalve voor de periodieke evaluatie van de gepastheid ervan door de Commissie, verzoekt de Commissie de regering van de VS om het PCLOB-verslag over de tenuitvoerlegging van de PPD-28 openbaar te maken.
De Commissie beveelt aan dat de Amerikaanse autoriteiten proactief gevolg geven aan hun toezegging de Commissie tijdig te voorzien van uitgebreide informatie over ontwikkelingen die relevant zouden kunnen zijn voor het privacyschild – ook als die ontwikkelingen wellicht vragen oproepen over de uit hoofde van het kader geboden bescherming.
(1)
Uitvoeringsverordening (EU) 2016/1250 van de Commissie of 12 juli 2016 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming, PB L 2017 van 1.8.2016, blz. 1.
(2)
Arrest van het Hof van Justitie van de Europese Unie van 6 oktober 2015, zaak C-362/14, Maximillian Schrems tegen Data Protection Commissioner.