Artikelen bij COM(2018)860 - Tweede evaluatie van de werking van het EU-VS-privacyschild - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2018)860 - Tweede evaluatie van de werking van het EU-VS-privacyschild. |
|---|---|
| document | COM(2018)860   |
| datum | 19 december 2018 |
Brussel, 19.12.2018
COM(2018) 860 final
VERSLAG VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD
over de tweede evaluatie van de werking van het EU-VS-privacyschild
{SWD(2018) 497 final}
1.TWEEDE JAARLIJKSE EVALUATIE – DOEL, VOORBEREIDING EN AANPAK
Op 12 juli 2016 heeft de Commissie een besluit vastgesteld (het 'adequaatheidsbesluit') waarin zij constateert dat het EU-VS-privacyschild (het 'privacyschild') een passend beschermingsniveau biedt voor persoonsgegevens die vanuit de EU worden doorgegeven naar organisaties in de Verenigde Staten 1 . Het adequaatheidsbesluit voorziet met name in een jaarlijkse evaluatie van alle aspecten van de werking van het kader door de Commissie. De eerste jaarlijkse evaluatie vond plaats op 18 en 19 september 2017 in Washington D.C., en op 18 oktober 2017 keurde de Commissie haar verslag aan het Europees Parlement en de Raad 2 goed, dat vergezeld gaat van een werkdocument van de diensten van de Commissie (SWD (2017) 344 final) 3 .
Op basis van haar bevindingen van de eerste evaluatie concludeerde de Commissie dat de Verenigde Staten een passend beschermingsniveau bleven bieden voor persoonsgegevens die in het kader van het privacyschild vanuit de Unie worden doorgegeven naar organisaties in de Verenigde Staten. Tegelijkertijd was de Commissie van mening dat de praktische tenuitvoerlegging van het privacyschildkader verder kon worden verbeterd om ervoor te zorgen dat de daarin verstrekte garanties en waarborgen op de beoogde wijze blijven functioneren. Daartoe deed de Commissie tien aanbevelingen.
Het huidige verslag sluit de tweede jaarlijkse evaluatie van de werking van het privacyschild af. Het verslag, evenals het begeleidende werkdocument van de diensten van de Commissie (SWD(2018) 497 final), heeft dezelfde structuur als het verslag over de eerste evaluatie. Ze bestrijken alle aspecten van de werking van het privacyschild, mede in het licht van de ontwikkelingen in het afgelopen jaar. Een centraal element in de beoordeling van de Commissie was de tenuitvoerlegging van haar aanbevelingen van de eerste jaarlijkse evaluatie.
Ter voorbereiding van de tweede jaarlijkse evaluatie heeft de Commissie informatie verzameld bij relevante belanghebbenden (met name bij in het kader van het privacyschild gecertificeerde bedrijven, via hun respectieve handelsorganisaties, en bij niet-gouvernementele organisaties (ngo’s) die actief zijn op het gebied van grondrechten, met name digitale rechten en privacy), alsook bij de desbetreffende Amerikaanse autoriteiten die bij de uitvoering van het kader betrokken zijn.
De tweede jaarlijkse evaluatie vond plaats in Brussel op 18 en 19 oktober 2018. De evaluatie werd geopend door Věra Jourová, commissaris voor Justitie, Consumentenzaken en Gendergelijkheid, Wilbur Ross, Amerikaans minister van Handel, voorzitter van de federale handelscommissie Joseph Simons Andrea en Jelinek, voorzitter van het Europees Comité voor gegevensbescherming. Ze is namens de EU verricht door vertegenwoordigers van het directoraat-generaal Justitie en consumentenzaken van de Europese Commissie. De EU-delegatie telde ook zeven vertegenwoordigers die zijn aangewezen door het Europees Comité voor gegevensbescherming (het onafhankelijke orgaan waarin vertegenwoordigers van de nationale gegevensbeschermingsautoriteiten van de EU-lidstaten en de Europees Toezichthouder voor gegevensbescherming samenkomen.
Van Amerikaanse zijde is aan de evaluatie deelgenomen door vertegenwoordigers van het ministerie van Handel, het ministerie van Buitenlandse Zaken, de federale handelscommissie, het ministerie van Vervoer, het bureau van de directeur van de nationale inlichtingendienst, het ministerie van Justitie en leden van de Privacy and Civil Liberties Oversight Board, alsook door de waarnemend ombudsman en de inspecteur-generaal van de inlichtingendiensten. Daarnaast is tijdens de evaluatiesessies informatie verstrekt door vertegenwoordigers van een organisatie die onafhankelijke geschillenbeslechting aanbiedt in het kader van het privacyschild en de American Arbitration Association. Tot slot is bij de evaluatie gebruikgemaakt van presentaties van in het kader van het privacyschild gecertificeerde organisaties over hoe bedrijven voldoen aan de vereisten van het kader.
Voorts is voor de bevindingen van de Commissie gebruikgemaakt van een door haar aangevraagde studie en van openbaar materiaal, zoals rechterlijke beslissingen, uitvoeringsbepalingen en procedures van de desbetreffende Amerikaanse autoriteiten, verslagen en studies van niet-gouvernementele organisaties, transparantieverslagen uitgebracht door in het kader van het privacyschild gecertificeerde bedrijven, jaarverslagen van onafhankelijke verhaalsmechanismen en mediaberichten.
De evaluatie van dit jaar vond plaats tegen de achtergrond van de steeds mondialer wordende uitdagingen voor de privacy van gegevens, getuige de zaak Facebook/Cambridge Analytica. Zowel de EU als de Verenigde Staten zijn zich ervan bewust dat ze voor vergelijkbare uitdagingen staan als het gaat om de bescherming van persoonsgegevens. Tijdens de evaluatie wezen beide partijen op de noodzaak om dergelijk misbruik van persoonsgegevens aan te pakken, onder andere via krachtige handhavingsmaatregelen van de EU-gegevensbeschermingsautoriteit en de federale handelscommissie van de Verenigde Staten.
Het verslag van de Commissie weerspiegelt ook het lopende debat over de federale privacywetgeving in de Verenigde Staten. De convergentie tussen onze beide systemen zou de grondslagen van het privacyschildkader op lange termijn versterken.
2.BEVINDINGEN EN CONCLUSIES
Bij de tweede jaarlijkse evaluatie is gekeken naar zowel de 'commerciële aspecten' van het privacyschildkader als kwesties in verband met de toegang tot persoonsgegevens door de overheid.
Met betrekking tot de 'commerciële aspecten', d.w.z. kwesties betreffende het beheer en de handhaving van en het toezicht op de voor gecertificeerde bedrijven geldende verplichtingen merkt de Commissie op dat het ministerie van Handel het certificeringsproces verder heeft versterkt en nieuwe toezichtprocedures heeft ingevoerd. In het bijzonder heeft het ministerie van Handel een nieuwe procedure aangenomen waarbij eerste aanvragers openbare verklaringen over hun deelname aan het privacyschild moeten uitstellen tot hun certificeringsonderzoek is afgerond door het ministerie van Handel. Bovendien heeft het ministerie van Handel nieuwe mechanismen ingevoerd om potentiële nalevingsproblemen op te sporen zoals steekproeven (op het ogenblik van de jaarlijkse evaluatie zijn steekproeven uitgevoerd op ongeveer 100 organisaties) en toezicht op de publieke verslagen over de privacypraktijken van privacyschilddeelnemers. Om na te gaan of er valse beweringen over deelname aan het kader worden gedaan, maakt het ministerie van Handel nu actief gebruik van diverse instrumenten, zoals een driemaandelijkse evaluatie van bedrijven die wellicht meer geneigd zijn valse beweringen te doen, en een systeem voor internetopzoekingen op afbeelding en op tekst. Als gevolg van deze nieuw ingevoerde praktijken en procedures heeft het ministerie van Handel sinds de eerste jaarlijkse evaluatie meer dan 50 zaken doorverwezen naar de federale handelscommissie, die op haar beurt handhavingsmaatregelen nam in die gevallen waarin de verwijzing op zich niet voldoende was voor naleving door het betrokken bedrijf.
Met betrekking tot handhaving merkt de Commissie op dat de federale handelscommissie in het kader van haar inspanningen om proactief toezicht te houden op de naleving van de privacyschildbeginselen, recentelijk administratieve dwangbevelen heeft uitgevaardigd om informatie op te vragen bij een aantal privacyschilddeelnemers. De federale handelscommissie heeft ook bevestigd dat haar onderzoek naar de zaak Facebook/Cambridge Analytica nog aan de gang is. Hoewel de Commissie de nieuwe, meer proactieve aanpak van de federale handelscommissie ten aanzien van toezicht op naleving een belangrijke ontwikkeling vindt, betreurt zij dat de federale handelscommissie in dit stadium geen verdere informatie over haar recente onderzoeken kon geven en zal zij verdere ontwikkelingen in dit verband van nabij volgen.
Bij de tweede jaarlijkse evaluatie is ook rekening gehouden met relevante ontwikkelingen in het Amerikaanse rechtssysteem op het gebied van privacy. Het betreft met name de door het ministerie van Handel gehouden raadpleging over een federale aanpak voor de privacy van gegevens en het reflectieproces van de federale handelscommissie over haar huidige bevoegdheden op privacygebied en de efficiëntie van het gebruik van haar huidige corrigerende autoriteit.
Zoals de zaak Facebook/Cambridge Analytica en andere onthullingen hebben aangetoond, is het belangrijk dat de EU en de Verenigde Staten uniform reageren. In die geest heeft de Commissie bovengenoemde initiatieven met grote belangstelling gevolgd en heeft zij bijgedragen aan het raadplegingsproces van het ministerie van Handel met een schriftelijke opmerking 4 .
Met betrekking tot aspecten betreffende de toegang tot en het gebruik van persoonsgegevens door Amerikaanse overheidsdiensten is bij de tweede jaarlijkse evaluatie vooral gekeken naar relevante ontwikkelingen in het Amerikaanse rechtskader, waaronder relevante beleidsmaatregelen en procedures van instanties, naar recente tendensen in surveillanceactiviteiten en naar ontwikkelingen in de opzet en de werking van belangrijke toezichts- en verhaalsmechanismen.
De belangrijkste juridische ontwikkeling op het gebied van overheidstoegang was de hernieuwde toestemming voor Section 702 van de Foreign Intelligence Surveillance Act ("de Act") begin 2018. De hernieuwde toestemming heeft weliswaar niet geleid tot de opname van de door Presidential Policy Directive 28 geboden bescherming in de Act, zoals door de Commissie was voorgesteld, maar evenmin tot een beperking van de in de Act vervatte waarborgen die van toepassing waren op het tijdstip waarop het besluit inzake het privacyschild werd vastgesteld. Bovendien hebben de wijzigingen niet geleid tot een uitbreiding van de bevoegdheden van de Amerikaanse inlichtingendiensten om niet-Amerikanen te specificeren als doelwit voor het verwerven van buitenlandse inlichtingen op grond van sectie 702. In plaats daarvan is bij de Amendments Reauthorization Act van 2017, tot wijziging van de Foreign Intelligence Surveillance Act van 1978, een aantal aanvullende privacywaarborgen ingevoerd, op onder andere het gebied van transparantie.
Er zijn ook belangrijke ontwikkelingen geweest met betrekking tot de Privacy and Civil Liberties Oversight Board die ten tijde van de eerste jaarlijkse evaluatie nog slechts één bestuurslid had. De Commissie had dan ook aanbevolen snel de ontbrekende bestuursleden te benoemen. Op 11 oktober 2018 heeft de Amerikaanse Senaat de benoeming van de voorzitter van de Privacy and Civil Liberties Oversight Board en van twee andere leden van de Board bevestigd, waardoor die laatste zijn volledige quorum opnieuw bereikte en al zijn functies kon uitoefenen. Na de eerste jaarlijkse evaluatie had de Commissie ook aanbevolen het verslag van de Board over Presidential Policy Directive 28 openbaar te maken. Het verslag is vrijgegeven op 16 oktober 2018 5 en bevestigt dat Presidential Policy Directive 28 volledig wordt toegepast door de inlichtingendiensten. Met name wordt bevestigd dat naar aanleiding van de publicatie van Presidential Policy Directive 28 de relevante onderdelen van de inlichtingendiensten uitvoeringsvoorschriften voor die richtlijn hebben vastgesteld en hun praktijken hebben veranderd om ze in overeenstemming te brengen met de vereisten van Presidential Policy Directive 28.
Tot slot was de positie van ondersecretaris in het ministerie van Buitenlandse Zaken aan wie het bureau van de ombudsman is toegewezen, ten tijde van dit verslag nog niet ingevuld door een vaste benoeming hoewel de Commissie had aanbevolen snel de privacyschildombudsman te benoemen. De Commissie nam in dit verband nota van het feit dat de Amerikaanse overheid bij de tweede jaarlijkse evaluatie erkende dat snel vorderingen moesten worden gemaakt met de benoeming van een permanente ondersecretaris en bevestigde dat hier volop aan wordt gewerkt.
Ten tijde van dit verslag waren nog geen verzoeken ingediend via het ombudsmanmechanisme. Via de ombudsman was wel een klacht ingediend bij de Kroatische gegevensbeschermingsautoriteit en de desbetreffende controles waren aan de gang.
De gedetailleerde bevindingen inzake de werking van alle aspecten van het privacyschildkader na het tweede jaar dat het kader operationeel is, worden gepresenteerd in het werkdocument van de diensten van de Commissie over de tweede jaarlijkse evaluatie van de werking van het EU-VS-privacyschild (SWD(2018) 497), waarvan het huidige verslag vergezeld gaat.
De in het kader van de tweede jaarlijkse evaluatie verzamelde informatie bevestigt de bevindingen van de Commissie in het adequaatheidsbesluit, zowel wat betreft de 'commerciële aspecten' van het kader als aspecten met betrekking tot de toegang tot in het kader van het privacyschild door de Amerikaanse autoriteiten doorgegeven persoonsgegevens.
Op basis van die bevindingen concludeert de Commissie dat de Verenigde Staten nog steeds een passend beschermingsniveau waarborgen voor persoonsgegevens die in het kader van het privacyschild vanuit de Unie worden doorgegeven naar organisaties in de Verenigde Staten.
Met name hebben de maatregelen die zijn genomen om de aanbevelingen van de Commissie na de eerste jaarlijkse evaluatie uit te voeren, een aantal aspecten van de praktische werking van het kader verbeterd zodat het door het adequaatheidsbesluit gegarandeerde niveau van bescherming van natuurlijke personen niet wordt ondermijnd.
Sommige van deze maatregelen zijn echter pas recentelijk genomen en de desbetreffende processen zijn nog aan de gang. Verdere ontwikkelingen met betrekking tot deze processen moeten derhalve van nabij worden gevolgd, met name omdat ze van invloed zijn op elementen die essentieel zijn voor de continuïteit van het adequaatheidsbesluit. Het betreft met name:
1.de doeltreffendheid van de mechanismen die het ministerie van Handel heeft ingevoerd in het tweede jaar dat het kader operationeel was om de naleving van de privacyschildbeginselen door gecertificeerde bedrijven proactief te volgen, met name de naleving van materiële eisen en verplichtingen;
2.de doeltreffendheid van de instrumenten die sinds de eerste jaarlijkse evaluatie door het ministerie van Handel zijn ingevoerd om na te gaan of er valse beweringen inzake deelname aan het kader zijn gedaan, met bijzondere aandacht voor valse beweringen door bedrijven die de certificering nooit hebben aangevraagd;
3.de vorderingen en resultaten van ambtshalve onderzoeken die de federale handelscommissie hebben verricht in het tweede jaar dat het privacyschild operationeel was door middel van administratieve dwangbevelen om substantiële schendingen van het privacyschild op te sporen;
4.de gezamenlijke ontwikkeling van aanvullende richtsnoeren door het ministerie van Handel, de federale handelscommissie en gegevensbeschermingsautoriteiten van de EU, over elementen die verdere toelichting behoeven (bv. HR-gegevens);
5.de benoeming van een permanente privacyschildombudsman;
6.de doeltreffendheid van de behandeling en de afhandeling van klachten door de ombudsman.
Met name verzoekt de Commissie de Amerikaanse overheid haar politiek engagement voor het ombudsmanmechanisme te bevestigen door prioriteit te geven aan de benoeming van een permanente ombudsman. Het ombudsmanmechanisme is een belangrijk onderdeel van het privacyschildkader en hoewel de waarnemend ombudsman de desbetreffende functies blijft uitoefenen, is het ontbreken van een permanente ombudsman hoogst onbevredigend en moet dit zo snel mogelijk worden verholpen. De Commissie verwacht dat de regering van de VS uiterlijk op 28 februari 2019 een kandidaat aanwijst om de positie van ombudsman op permanente basis in te vullen en de Commissie in kennis stelt van de benoemde persoon. Als dit niet gebeurt, zal de Commissie overwegen passende maatregelen te nemen overeenkomstig de algemene verordening gegevensbescherming 6 . De Commissie verwacht eveneens nauwkeurige en gedetailleerde informatie over alle bovengenoemde aspecten om te kunnen beoordelen of de genomen maatregelen doeltreffend zijn in de praktijk.
Tot slot zal de Commissie het lopende debat over de federale privacywetgeving in de VS van nabij blijven volgen. Gezien het belang van trans-Atlantische gegevensstromen moedigt de Commissie de VS aan een uitgebreid systeem van privacy- en gegevensbescherming in te voeren en partij te worden bij Verdrag 108 van de Raad van Europa. Een dergelijke brede aanpak kan op langere termijn zorgen voor convergentie tussen onze beide systemen, wat ook de grondslagen van het privacyschildkader zou versterken.
(1)
Uitvoeringsverordening (EU) 2016/1250 van de Commissie of 12 juli 2016 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming, PB L 2017 van 1.8.2016, blz. 1.
(2)
Verslag van de Commissie aan het Europees Parlement en de Raad over de eerste jaarlijkse evaluatie van de werking van het EU-VS-privacyschild (COM (2017) 611 final), zie http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619
(3)
Werkdocument van de diensten van de Commissie bij het verslag van de Commissie aan het Europees Parlement en de Raad over de eerste jaarlijkse evaluatie van de werking van het EU-VS-privacyschild (SWD(2017)344 final), zie http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619
(4)
Beschikbaar op https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf
(5)
Verslag aan de voorzitter over de tenuitvoerlegging van Presidential Policy Directive 28: inlichtingen uit berichtenverkeer", beschikbaar op https://www.pclob.gov/reports/report-PPD28/
(6)
Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).