Europese privacytoezichthouders: extra waarborgen nodig bij doorgifte gegevens aan VS
De Europese privacytoezichthouders, verzameld in de Artikel 29-werkgroep, hebben een brief over de zogeheten Safe Harbor-overeenkomst geschreven aan Eurocommissaris Reding. Hierin stellen zij dat de Safe Harbor-overeenkomst moet worden opgeschort als de discussies tussen de Europese Commissie en de Verenigde Staten over de aanbevelingen ter verbetering van de privacywaarborgen in Safe Harbor niet leiden tot een positieve uitkomst.
Tijdens de 95e plenaire vergadering op 9 en 10 april 2014 van de Artikel 29-werkgroep is daarnaast ook gesproken over onder meer de herziening van de Europese privacywetgeving, de rechtsgrondslag ‘gerechtvaardigd belang’ voor de verwerking van persoonsgegevens en over anonimiseringstechnieken. Over de twee laatstgenoemde onderwerpen heeft de werkgroep opinies aangenomen.
Safe Harbor
Op 27 november 2013 heeft de Europese Commissie (EC) een Mededeling gepubliceerd over het functioneren van de Safe Harbor-overeenkomst. Hierin concludeert de EC dat er specifieke problemen zijn, met name met de transparantie door bedrijven en de handhaving van de overeenkomst. Daarom heeft de Europese Commissie 13 aanbevelingen gedaan om de overeenkomst te verbeteren.
Als reactie op de Mededeling, hebben de Europese privacytoezichthouders een brief aan Eurocommissaris Reding gestuurd, waarin ze onderschrijven dat het vertrouwen in gegevensdoorgiftes van de Europese Unie (EU) naar de Verenigde Staten (VS) alleen kan worden hersteld als ook de waarborgen van Safe Harbor worden verstevigd. Het is twijfelachtig of de Safe Harbor-overeenkomst uit 2000 in de huidige vorm voldoende bescherming biedt aan Europese burgers, aldus de Europese privacytoezichthouders.
Amerikaanse bedrijven kunnen zich via zelfcertificering vrijwillig voor Safe Harbor aanmelden. De Europese Commissie heeft besloten dat Amerikaanse bedrijven die zich bij Safe Harbor hebben aangesloten, een naar Europese standaarden adequaat beschermingsniveau voor de verwerking van persoonsgegevens bieden. De mate waarin de overeenkomst daadwerkelijk bescherming biedt, staat op dit moment ter discussie.
Gerechtvaardigd belang
De Europese privacytoezichthouders hebben tijdens hun vergadering verder een opinie aangenomen over een belangrijke rechtsgrond voor het verzamelen en het gebruik van persoonsgegevens, te weten het gerechtvaardigd belang. Gegevensverwerkingen in de EU zijn alleen mogelijk als ze zijn gebaseerd op één van de zes rechtsgrondslagen genoemd in artikel 7 van de huidige Richtlijn 95/46. Gerechtvaardigd belang is één van de rechtsgrondslagen genoemd in artikel 7 en om te bepalen of deze rechtsgrondslag kan worden gebruikt voor een bepaalde verwerking, moeten de legitieme belangen van de verantwoordelijke, of een derde partij aan wie de gegevens beschikbaar zijn gesteld, worden afgewogen tegen de belangen en grondrechten van de betrokkene(n).
In de opinie over ‘gerechtvaardigd belang’ specificeert de Artikel 29-werkgroep aan welke voorwaarden een organisatie moet voldoen en welke stappen deze moet nemen als een bedrijf of instelling op basis van deze rechtsgrond persoonsgegevens wil verwerken.
Conceptverordening “One stop-shop”
De Europese privacytoezichthouders hebben tijdens de plenaire vergadering voorts een standpunt ingenomen over één van de meest bediscussieerde onderwerpen in het kader van de herziening van het wettelijk kader in de EU voor de gegevensbescherming, namelijk de éénloketbenadering, oftewel de one stop shop-benadering. In het standpunt stelt de Artikel 29-werkgroep een mogelijke compromistekst voor tussen de positie van het Europees Parlement (EP) en de voorstellen die in de Raad worden besproken, met de belangrijkste elementen waar een one stop-shop aan moet voldoen.
Anonimiseringstechnieken
Geanonimiseerde gegevens vallen buiten de reikwijdte van de gegevensbeschermingswetgeving. Daarom hebben de Europese privacytoezichthouders een opinie aangenomen waarin de effectiviteit en de grenzen van de bestaande anonimiseringstechnieken onder de loep zijn genomen. Op basis van de analyses heeft de werkgroep praktische aanbevelingen opgesteld om organisaties te helpen met het ontwikkelen van goede anonimiseringsprocessen. Anonimisering moet niet gezien worden als een eenmalige oefening. Bedrijven en overheden moeten regelmatig de risico’s analyseren omdat de ontwikkelingen op het gebied van anonimiseren en her-identificeren continue doorgaan. De opinie maakt tot slot duidelijk dat pseudonimiseren geen anonimiseringsmethode is, maar slechts een beveiligingsmaatregel om privacyrisico’s te verkleinen.