De Europese Commissie heeft de Privacy Shield-overeenkomst tussen de Europese Unie en de VS officieel aangenomen. De deal treedt meteen in werking en vanaf augustus kunnen bedrijven een verzoek voor certificering indienen.
Zodra de lidstaten op de hoogte zijn gesteld van de beslissing van de Commissie, is de laatste stap gezet in het proces rond de overeenkomst, aldus de Commissie in een persbericht. Daarmee is er nu een vervanger voor de Safe Harbour-regeling, die in oktober 2015 ongeldig werd verklaard door het Europese Hof van Justitie. De uitspraak kwam naar aanleiding van een zaak die de Oostenrijker Max Schrems tegen Facebook had aangespannen.
Het Privacy Shield is een 'adequacy decision', waarmee de Europese Commissie kan vastleggen dat de bescherming van persoonsgegevens in een land buiten de EU overeenkomt met die van de EU zelf, oftewel dat deze 'essentially equivalent' is. Het huidige adequaatheidsbesluit richt zich alleen op de VS en geldt voor iedereen die persoonsgegevens naar dat land wil doorgeven.
Deel van de overeenkomst is dat het Amerikaanse ministerie van Handel regelmatig controleert of deelnemende ondernemingen zich aan de regels houden. Bedrijven kunnen zich namelijk zelf certificeren onder het Privacy Shield, waarmee zij aangeven dat ze zich aan de regels houden die daarin zijn vastgelegd. Dit mechanisme was ook al aanwezig in de Safe Harbour-regeling.
Daarnaast zijn er regels opgesteld voor de verdere doorgifte van persoonsgegevens, nadat deze in de VS zijn aangekomen. Ook bevat het schild regels voor de duur waarmee gegevens opgeslagen mogen worden. Massasurveillance zonder onderscheid moet onder de overeenkomst uitgesloten worden, en het in bulk verzamelen van gegevens mag alleen in zeer specifieke gevallen en zo gericht mogelijk. Bovendien kunnen burgers gebruikmaken van verschillende manieren van geschilbeslechting als ze menen dat hun gegevens misbruikt worden. Een van deze methoden is via een ombudsman.
Grote bedrijven zijn positief over het Privacy Shield. Zo laat Google weten dat 'de overeenkomst blijk geeft van het feit dat de VS belangrijke waarden deelt en samen kan werken om privacy te beschermen'. Microsoft zegt dat het schild 'een belangrijke prestatie is voor de privacyrechten van Europese burgers en voor bedrijven die afhankelijk zijn van internationale gegevensstromen'.
Naast de positieve geluiden is er ook veel kritiek op het Privacy Shield. Zo stelt Max Schrems dat de uiteindelijke tekst veel gebreken bevat. Het uiteindelijke product zou voortkomen uit druk van de VS en de ict-industrie, in plaats van uit redelijke overwegingen. De tekst zou bovendien niets goeds betekenen voor zowel gebruikers als bedrijven en slechts een marginale verbetering voorstellen tegenover de Safe Harbour-regeling. Schrems verwacht dan ook dat het Privacy Shield het lot van die regeling zal delen en waarschijnlijk door een rechter opnieuw ongeldig wordt verklaard.