Europese Commissie publiceert voorlopige tekst Privacy Shield-overeenkomst

De Europese Commissie heeft de ontwerptekst van de Privacy Shield-overeenkomst, die de Safe Harbour-regeling opvolgt, beschikbaar gesteld. De tekst bevat nieuwe regels voor bedrijven en moet ervoor zorgen dat toegang tot gegevens door de Amerikaanse overheid beperkt blijft.

Eu US Privacy Shield Max Schrems, die er in 2015 voor zorgde dat de Safe Harbour-regeling aan de kaak werd gesteld, is kritisch over het nieuwe Privacy Shield. Zo claimt de Europese Commissie dat er geen sprake meer is van het in bulk verzamelen van informatie door de VS. Schrems wijst er echter op dat de regeling zes gevallen aanwijst waarin deze verzameling wel is toegestaan. Bijvoorbeeld als het gaat om terrorismebestrijding, cybersecurity en internationale criminaliteit.

Dit gaat volgens hem lijnrecht in tegen de eisen die het Europese Hof van Justitie bij de Safe Harbour-uitspraak heeft geformuleerd. Schrems is dan ook van mening dat de nieuwe regels een poging zijn 'om Safe Harbour nieuw leven in te blazen' en dat de regels 'direct terugleiden naar Luxemburg'. Daarmee bedoelt hij dat de nieuwe regeling waarschijnlijk snel weer voor de Europese rechter in Luxemburg zal worden gebracht.

Onder de nieuwe regels moeten bedrijven akkoord gaan met 'privacyprincipes' door middel van een zelfcertificeringsproces, dat ook deel uitmaakte van de oude Safe Harbour-regeling. Dit proces moet jaarlijks worden herhaald en moet ertoe leiden dat bedrijven zich aan de geldende regels houden. Het Amerikaanse ministerie van Economische Zaken gaat daarbij controleren of de privacyvoorwaarden van de bedrijven overeenkomen met de eerdergenoemde principes. Ook zal de Privacy Shield-overeenkomst zelf jaarlijks geëvalueerd worden.

Een van deze principes is het 'keuzeprincipe', waarbij er voor individuen de mogelijkheid is voor een opt-out voor bepaalde vormen van gegevensverwerking. Onder het Privacy Shield is het alleen mogelijk om daarvan gebruik te maken als men wil voorkomen dat gegevens aan derden worden verstrekt of als de persoonsgegevens verwerkt worden voor een geheel ander doel dan waarvoor ze zijn verzameld. Schrems merkt daarbij op dat deze twee gevallen maar een klein deel van de mogelijke bewerkingshandelingen zijn.

Burgers hebben de mogelijkheid om een klacht in te dienen bij de bedrijven die hun persoonsgegevens verwerken. Deze bedrijven hebben dan 45 dagen de tijd om op een dergelijke klacht te reageren. Daarnaast is er een mogelijkheid om gratis gebruik te maken van alternatieve manieren van geschilbeslechting. Mocht er dan nog geen oplossing zijn, is het mogelijk om de klacht te laten oplossen via de nationale privacytoezichthouders. Als ultiem redmiddel is het mogelijk om een klacht voor te leggen aan een Privacy Shield-panel, dat vervolgens met een bindende uitspraak komt. Dit panel bestaat uit een of drie onafhankelijke arbiters, die door de partijen kunnen worden gekozen uit een groep van minimaal twintig personen.

Een opvallend punt dat Schrems hierbij noemt, is dat nationale privacytoezichthouders volgens de nieuwe regels kunnen beslissen dat een bedrijf de export van gegevens moet stopzetten. Ze kunnen hiertoe overgaan als ze van mening zijn dat er geen adequaat beschermingsniveau voor persoonsgegevens aanwezig is.

Op het gebied van de Amerikaanse nationale veiligheid zijn er duidelijke grenzen en beperkingen aangebracht aan de toegang tot informatie door opsporings- en veiligheidsdiensten. Burgers kunnen zich bij klachten of conflicten wenden tot een ombudsman. Deze bekijkt vervolgens of de nodige Amerikaanse juridische waarborgen in acht zijn genomen en ziet erop toe dat passende stappen worden genomen als dit niet zo is.

Vertegenwoordigers van de EU-lidstaten en het overlegorgaan van de nationale privacytoezichthouders, de Artikel 29-werkgroep, nemen de ontwerptekst van de Privacy Shield-overeenkomst in de komende tijd onder de loep. Daarna wordt de uiteindelijke tekst vastgesteld.

IT-banen

Reacties (29)

Verwijderd 29 februari 2016 15:12

De tekst bevat nieuwe regels voor bedrijven en moet ervoor zorgen dat toegang tot gegevens door de Amerikaanse overheid beperkt blijft.

Dit vind ik dan weer zo'n leuke zin als je nagaat dat GCHQ en de BND nauw samenwerken met de NSA in het delen van informatie. Europa wil natuurlijk het graag zo presenteren alsof enkel de Amerikaanse overheid datagraaiers zijn, nou de Snowden en latere onthullingen laten zien dat de Europese diensten even 'vrolijk' meedoen hierin. Veiligheidsdiensten besteden bepaalde taken bewust uit aan elkaar om zo wetgeving in eigen land te ontduiken. Zij houden zich nu al niet aan de wetgeving en zouden zich nu wel aan een of ander verdrag gaan houden?

eheijnen @Verwijderd • 29 februari 2016 15:20

[...]
Dit vind ik dan weer zo'n leuke zin als je nagaat dat GCHQ en de BND nauw samenwerken met de NSA in het delen van informatie. Europa wil natuurlijk het graag zo presenteren alsof enkel de Amerikaanse overheid datagraaiers zijn, nou de Snowden en latere onthullingen laten zien dat de Europese diensten even 'vrolijk' meedoen hierin. Veiligheidsdiensten besteden bepaalde taken bewust uit aan elkaar om zo wetgeving in eigen land te ontduiken. Zij houden zich nu al niet aan de wetgeving en zouden zich nu wel aan een of ander verdrag gaan houden?

Daar komt nog bij dat ze wel op basis van die zes punten mass-surveillance mogen toepassen. Gezien ze nooit of te nimmer onderscheid kunnen maken zullen ze daarvoor alle verkeer moeten afvangen. Ik zou deze clausule een wassen neus willen noemen.

En dan nog eens dat "circus" van de laatste tijd waarbij Amerikaanse bedrijven zich o-zo verzetten tegen de geheime diensten. Hier onder een mooie docu hierover:
https://www.youtube.com/watch?v=unrUFDRWUaU

The Zep Man

Politiek en recht

29 februari 2016 15:50

Het Amerikaanse ministerie van Economische Zaken gaat daarbij controleren of de privacyvoorwaarden van de bedrijven overeenkomen met de eerdergenoemde principes.

Wij van Wc-eend vinden dat Wc-eend onderaannemer #394.837.594 het heel goed doet!

Een van deze principes is het 'keuzeprincipe', waarbij er voor individuen de mogelijkheid is voor een opt-out voor bepaalde vormen van gegevensverwerking. Onder het Privacy Shield is het alleen mogelijk om daarvan gebruik te maken als men wil voorkomen dat gegevens aan derden worden verstrekt of als de persoonsgegevens verwerkt worden voor een geheel ander doel dan waarvoor ze zijn verzameld.

Opt-out van het delen van gegevens gaat niet werken. Het gaat om de bescherming van persoonsgegevens, en opt-out gaat daar tegenin doordat standaard persoonsgegevens niet beschermd zijn. Voor dit soort zaken moet het vrijgeven van dit soort gegevens een (expliciete, exclusieve, ten alle tijden weer weg te nemen) opt-in zijn, en zelfs dan alleen als het ook daadwerkelijk een gewenste functie is (van de gegevenseigenaren, niet van de handelaren).

[Reactie gewijzigd door The Zep Man op 22 juli 2024 14:25]

locke960 29 februari 2016 21:01

Er is dus niks verandert.

Waarom kunnen wij niet doen wat landen als China en Rusland wel kunnen ?
Gewoon eisen dat bedrijven onze regels nakomen en als ze dat niet doen hard straffen.
Als dat betekent dat ze tussen wal en schip vallen vanwege verschillen in de Europese en Amerikaanse regelgeving, dan is dat hun probleem. Dan zoeken ze maar een oplossing. En als ze dat niet kunnen dan doet de vrije markt het wel, een oplossing waar zowel de EU als de US altijd de mond vol van hebben, dus daar kunnen ze toch niet tegen zijn.

mutley69 29 februari 2016 21:49

Schrems heeft uiteraard gelijk - men verdient ons vertrouwen niet - en de rechter z'n uitspraak wordt gewoon naast zich neergelegd. Hopelijk start ie een nieuwe actie - want het gaat nodig zijn.
Trouwens waarom mogen bij ons niet uitspreken of we geen brexit wensen?
Na wat het GCHQ allemaal heeft uitgespookt is het toch logisch dat we ons als bondgenoten bedrogen voelen - en dus meen ik dat we ook daaromtrend het recht in eigen hand moeten nemen. We moeten hiervoor natuurlijk veel handtekeningen rondhalen - maar dat moet te doen zijn.
Ik stem uiteraard voor een eject van de britten - men moet weten wat men wil. Je wordt niet lid om nadien op het lidmaatschap af te gaan dingen - een contract is een contract - je zit er in of je stapt er uit.

Verwijderd 29 februari 2016 15:00

Ik vraag me altijd af waaronder een server (gelokaliseerd in bijvoorbeeld Amsterdam) van een hosting provider (hoofdkwartier in de US) valt. Is dit dan de Europese wetgeving of de Amerikaanse?

m24 @Verwijderd • 29 februari 2016 15:03

Organisaties welke in Amerika actief zijn vallen onder het Amerikaanse recht. Hierbij doet het er voor de Amerikaanse wetgever niet toe waar de data zich op de wereld bevindt. Uiteraard valt de Amsterdamse server óók onder het Nederlandse recht...

Verwijderd @m24 • 29 februari 2016 15:21

De Amerikaanse overheid zelf vindt in elk geval van wel, echter is dit nog niet uitgekristalliseerd. Microsoft heeft momenteel een zaak lopen over de server in Ierland waarbij justitie onder de Patriot Act toegang vereist: https://en.wikipedia.org/..._United_States_of_America De eerste rechter heeft justitie in het gelijk gesteld, nu het beroep is nog onder de rechter. Nog een linkje hierover: http://www.theguardian.co...il-ireland-search-warrant

walkstyle @m24 • 29 februari 2016 15:07

Maar kan bijvoorbeeld Facebook (USA) niet Whatsapp B.V. oprichtten, en dan gewoon met slimme constructies soms samenkomen qua investeringen/kosten/overige ?
of doet AMS-IX (USA) dit niet al ?

m24 @walkstyle • 29 februari 2016 15:12

Als Facebook (USA) eigenaar is van Whatsapp B.V. zal wetgever Facebook ook als eigenaar zien van de data en men verplichten de data te overhandigen. Dit omzeilen kan dus alleen door geen eigendoms verhouding te hebben... en dan heb je weer andere problemen: Facebook geeft dan je gegevens aan een derde partij.... Overigens zijn ook Amerikaanse staatsburgers onderhevig aan deze wetgeving. Dus als er een Amerikaan rondloopt bij de derde partij ben je alsnog de sjaak...

lhuizing @m24 • 1 maart 2016 11:30

Je hebt op zich gelijk, maar het is niet helemaal relevant in dit specifieke geval. Het Europese Hof mag namelijk niet oordelen over zaken die de nationale veiligheid van EU-lidstaten betreffen en de uitspraak in de Schrems-zaak is dan ook alleen van toepassing op gegevens die worden ge-exporteerd. Als Facebook gegevens in de EU opslaat, mag dat dus gewoon, zelfs al verplicht de Amerikaanse wet Facebook om de NSA toegang te verlenen tot die gegevens. Op het moment echter dat dat ook daadwerkelijk gebeurt - de NSA haalt in de EU opgeslagen gegevens naar Amerika - is er wel weer sprake van een schending van het EU-recht. Lijkt mij in elk geval.

Verwijderd @m24 • 29 februari 2016 15:21

Is Microsoft niet juist dit aan het aanvechten in Ierland?

lhuizing @Verwijderd • 1 maart 2016 11:33

Nee. Microsoft verzet zich tegen een bevel van de FBI om gegevens te overhandigen in een zaak die gaat over opsporing van een concreet misdrijf onder een concrete verdenking. Het gaat niet over het massaal verzamelen van algemene informatie ten behoeve van de inlichtingendiensten in het kader van de nationale veiligheid. Dat is een flink verschil. Microsoft kan niet anders dan meewerken met de NSA en biedt volgens Snowden ook toegang tot haar servers - wereldwijd - via het PRISM-programma.

De FBI wil echter een crimineel vervolgen en wil de gegevens dus in de rechtbank gebruiken en heeft daarvoor een andere vorm van toegang nodig en daartegen verzet Microsoft.

Ik verwacht trouwens dat MS gewoon zal worden verplicht die gegevens door te spelen.

prupke15 @Verwijderd • 29 februari 2016 15:03

Die zal onder Amerikaanse regelgeving vallen, dit doordat in de patriot act is vastgesteld dat alle Amerikaanse bedrijven en diens dochterondernemingen ookal zijn die in het buitenland actief doorzocht kunnen en mogen worden.
Correct me if I'm wrong

latka @prupke15 • 29 februari 2016 19:58

Yup. En als de Amerikaanse moeder niet meewerkt dan kan er een boete volgen of sancties. Dus het heeft weinig zin om je als Amerikaans bedrijf te beroepen op Europese regels.

Armin @prupke15 • 29 februari 2016 20:16

De server locatie is niet noodzakelijk relevant. Zowel niet onder Nederlandse, Europese als Amerikaanse wetgeving. En de Patriot Act heft er verder ook maar weinig mee te maken. Deze wetgeving hier is vooral bedoeld voor bedrijven die grensoverschrijdend werken met data zodat ze niet met individuele wetgeving van alle EU landen plus de Amerikaanse weygeving te maken hebben.

De geheime diensten hebben er eigenlijk niet zo veel mee te maken, anders dan dat iemand opmerkte dat gezien de huidige ophef er niet genoeg bescherming was. Dat was vooral een politieke wassen neus, want die is er nu ook nog niet, en andersom ook niet voor Amerikanen die data in de EU opslaan.

Maar terug naar jouw vraag, de belangrijkste factor is de vestigingsplaats. Google Nederland bijvoorbeeld kan haar data opslaan in Brazilie maar valt onder de Nederlandse wet, en Amerikaanse hetgeen nu gestroomlijnd is via de Privacy Shield wet. Idem voor Facebook Nederland, Apple Nederland, etc. Immers als Nederlander doe je daarmee zaken.

Het wordt pas lasting als er geen vestigingsplaats is in Europa. Denk aan WhatsApp. Dan val je onder Amerikaanse wetgeving omdat daar de servers staan. Doch Europese overheden vinden dat wel een problem, en dus is er soms discussie.

M.l. @Verwijderd • 1 maart 2016 00:19

Dat kan beide zijn, en die kunnen conflicteren.

Stel dat je als Amerikaanse hoster in nederland ook een server hebt staan en je registreert persoonsgegevens dan is de WBP van toepassing. Stel dat de VS eist dat jij data overhandigd kan het zijn dat je door daar aan te voldoen de WBP overtreed.

Verwijderd 29 februari 2016 15:10

De grote minpunten hierin zijn dus duidelijk deze 2 woorden :

privacytoezichthouders
Privacy Shield-panel

Grote vraag in hoeverre deze 2 unbiassed zijn.
Maar wel veel meer geld tot hun beschikking voor een rechtzaak dan de gemiddelde : Jan met de Pet.
Slechte zaak dus.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 14:25]

mard0 @Verwijderd • 29 februari 2016 15:22

Vooral dit stukje:

Als ultiem redmiddel is het mogelijk om een klacht voor te leggen aan een Privacy Shield-panel, dat vervolgens met een bindende uitspraak komt. Dit panel bestaat uit een of drie onafhankelijke arbiters, die door de partijen kunnen worden gekozen uit een groep van minimaal twintig personen.

Dan vraag ik me af wie kiest die 20 personen en wat zijn hun banden met de industrie?
En in hoeverre heeft mijn tegenpartij invloed op de keuze van deze "onafhankellijke" arbiter.

Verwijderd @mard0 • 29 februari 2016 15:24

juist

ATS 29 februari 2016 17:28

Sofie in 't Veld in het Europees parlement is alvast erg kritisch.

[Reactie gewijzigd door ATS op 22 juli 2024 14:25]

Durandal @ATS • 29 februari 2016 19:01

Da's fijn, maar kan dit nog tegengehouden worden?

ATS @Durandal • 29 februari 2016 19:38

Voor zover ik weet moet het EU parlement er mee instemmen...

Verwijderd @ATS • 29 februari 2016 22:53

Ach wat! Het is de de EU, dus gaan we volgend jaar weer een nieuw referendum verzinnen om ons ongenoegen te uiten en het volgende land dat we schofferen zal zijn.... Moldavië! Oekraïne krijgt binnenkort een beurt. Tja, je moet toch iemand naaien om je tegen de EU te verzetten, toch?

Я не роземію.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 14:25]

Collen 29 februari 2016 16:49

Er is dus niks veranderd..
Paar dure en mooie woorden, met wat achter deurtjes om het bestaande beleid
Te handhaven.

Gewoon niet gebruik maken van externe partijen als je data je lief is,
En je servers zelf draaien.

Verwijderd 29 februari 2016 21:26

Triest dat een club personen zulke vergaande besluiten kan nemen. Hoe is dit hele systeem anders dan een Europese adel aan de macht? Als je deze situatie aan een alien moest beschrijven, zou die geen verschil zien tussen onze situatie en die van de DDR. Europees parlement heeft er niks aan gedaan om dit systeem te voorkomen, integendeel. Ze weten wel wie er iedere maand hun belastingvrije salaris stort.

lhuizing @Verwijderd • 1 maart 2016 11:40

Volgens mij mis je een paar stappen. Ik ben niet blij met de manier waarop de Europese Commissie functioneert in Europa, maar jouw beschrijving klopt gewoon niet met de feiten.

1. De Europese Commissie is gekozen of in elk geval goedgekeurd door het Europees Parlement. Het Parlement heeft ook het recht om Commissarissen naar huis te sturen - en dat is ook verschillende keren gebeurd. Dat lijkt dus meer op de manier waarop de Nederlandse regering tot stand komt dan op de manier waarop de DDR machthebbers koos,
2. Het Europees Parlement heeft in 1995 een Richtlijn Gegevensbescherming aangenomen, die aan de Europese Commissie het mandaat verleent om beslissingen als Safe Harbor te nemen over andere landen. Dat is dus een keurig democratisch proces. De wet is wel sterk verouderd en de Europese Commissie heeft veel te lang vastgehouden aan het Safe Harborbesluit, ook al was al voor Snowden duidelijk dat het in strijd was met de werkelijke situatie in de VS.
3. Het Europees Parlement heeft meerdere keren bij de Commissie aangedrongen op het intrekken van Safe Harbor. De Commissie heeft niet geluisterd en was daar ook niet toe verplicht, gezien het mandaat dat eerder was verleend.
4. Het verwerpen van Safe Harbor door het Europees Hof van Justitie toont juist aan dat we niet in de DDR leven, maar in een Europese Rechtsstaat, waarin de machten elkaar controleren en gescheiden zijn.

Ben benieuwd naar je reactie.

Verwijderd @lhuizing • 1 maart 2016 16:54

De opkomstpercentages van EU parlementsverkiezingen rechtvaardigen totaal niet hoeveel macht de EU naar zich toetrekt. Ja, ik gooi het parlement en de commissie voor het gemak even op een hoop, want het is een dure pot nat.
Behalve de lage opkomstpercentages, is ook nog een deel daarvan EU kritisch.
In theorie een prachtig systeem, maar in de praktijk een kafkaësk gedrocht. Als de Europese burgers niet eerst legitimiteit verschaffen aan deze organisatie, is het in feite een bezettingsmacht. En aangezien er geen enkel officieel orgaan is dat ze terug kan fluiten, gaat het een heel gek leven leiden. Macht corrumpeert, absolute macht corrumpeert absoluut.
Er is bijna geen enkel terrein waarop de EU zich op een positieve manier laat gelden. Er zijn vele terreinen waarop ze burger tot last is; en er zijn terreinen waarop ze iets had kunnen en moeten doen, maar dat naliet. En ze is gigantisch duur. Wat jammer is, omdat we dat geld zelf moeten ophoesten met zijn allen, en iedereen heeft een beperk budget (als we niet zoveel belasting hoefden te betalen, hadden we meer besteedbaar inkomen waarmee we armlastige vrienden en familie konden helpen). Maar niet de EU; haar begroting is in al die jaren nog nooit goedgekeurd, en naheffingen van miljarden zijn meer regel dan uitzondering.
Maar ik kan het allemaal niet zo goed verwoorden als Boris Johnson; https://youtu.be/aRjl4biSmZ4

lhuizing @Verwijderd • 1 maart 2016 17:31

Met een aantal dingen ben ik het eens. Niet met de opkomstpercentages - dat doen de mensen zelf en de mensen hebben ook zelf een mening kunnen geven over de vorming van de unie via de nationale parlementsverkiezingen. Europa was heel lang iets dat we wilden met zijn allen. Daarin is verandering gekomen als gevolg van de Euro, die we nooit hadden moeten invoeren. Dat was een kapitale vergissing, maar terugdraaien is niet makkelijk, misschien zelfs onmogelijk.

Dat de EU geen positieve effecten heeft, lijkt me aantoonbaar onjuist. De EU heeft op veel gebieden prima resultaten geboekt voor een betrekkelijk lage prijs. Er is veel meer onderlinge handel. Veel meer vrijheid om je door Europa te verplaatsen. Meer vrijheid in veel landen in Oost-Europa. Meer respect voor de rechten van homo's. Betere maatregelen tegen klimaatverandering. Eenvoudiger om in de hele EU klandizie te vinden voor onze bedrijven. Veel regeringen geven graag de schuld aan Brussel voor van alles en nog wat, maar dat betekent nog niet dat het ook klopt. Veel vaker hebben ze het zelf gedaan. Waarmee ik niet wil suggereren dat er niets schort aan de manier waarop besluiten worden genomen in Brussel. Ik ben voorstander van het grondig herzien van het hele stelsel, inclusief het Parlement en de Commissie en als het even kan met ophefffing van de Raad van Ministers.

De naheffingen zijn een beetje onzin: die zijn namelijk gelijk aan de teruggaves aan andere landen. Het zijn geen extra gelden, alleen hebben wij een paar keer aan de verkeerde kant van de verdeelsleutel gezeten - maar dat was omdat onze economie het beter had gedaan. Het is trouwens een systeem waar vooral Nederland op heeft aangedrongen. Beetje dom, achteraf.

En Boris Johnson kan leuk kletsen, maar hij is een politieke campagne aan het voeren - ik zou zijn woorden niet als zoete koek slikken, net als die van welke politicus dan ook.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (29)

Sorteer op:

Weergave: