Privacy Shield – Afgewezen. AVG – Geaccepteerd: wat dit betekent voor uw organisatie en wat u nu zou moeten overwegen te doen

De Artikel 29-werkgroep van de Europese Unie (Artikel 29) heeft eerder deze week een advies uitgebracht over de voorgestelde kaderovereenkomst tussen de EU en de VS inzake het Privacy Shield (Privacy Shield). Daarin stelt de werkgroep dat het Privacy Shield weliswaar een "grote stap voorwaarts" is, de Artikel 29-groep verschillende punten heeft vastgesteld waarop het Privacy Shield onaanvaardbaar is, waaronder het feit dat het de VS toestaat om "massale en willekeurige" bulkbewaking van burgers van de Europese Unie uit te voeren. Aan de andere kant heeft het Europees Parlement slechts een dag later, op 14 april 2016, definitief ingestemd met de nieuwe Algemene Verordening Gegevensbescherming (AVG) van de EU, na vier jaar van samenwerking tussen de lidstaten.

Hoewel veel Amerikaanse organisaties teleurgesteld zullen zijn over de afwijzing van het Privacy Shield door de Artikel 29-groep, omdat het geen "adequate bescherming" biedt aan EU-ingezetenen, komt dit niet als een verrassing. De Artikel 29-groep bleef haar bezorgdheid uiten over de mogelijkheid van "massale en willekeurige" bulkverzameling van EU-persoonsgegevens door Amerikaanse autoriteiten. De Artikel 29-groep uitte echter ook andere bezwaren en wees erop dat, tenzij deze kwesties worden aangepakt, het Privacy Shield op dezelfde manier zou kunnen worden aangevochten als Safe Harbor voor het Europees Hof van Justitie, waardoor het Privacy Shield ongeldig zou worden verklaard.

Wat u vandaag nog moet doen om u voor te bereiden op de AVG en het Privacy Shield

De AVG zal van toepassing zijn op bijna alle organisaties die persoonsgegevens van Europese burgers monitoren of verwerken, ongeacht de fysieke locatie van de verwerker of verwerkingsverantwoordelijke. Hoewel de sancties voor niet-naleving van de AVG pas medio 2018 van kracht worden, hebben organisaties die persoonsgegevens van EU-burgers verzamelen of verwerken mogelijk nog veel werk te doen om hierop voorbereid te zijn. Hoewel de invoering van het Privacy Shield op enkele hindernissen is gestuit, lijkt het waarschijnlijk dat het in een of andere vorm zal worden aangenomen en dat bedrijven die het Privacy Shield overwegen, nog het een en ander moeten voorbereiden voordat ze het kunnen invoeren. We raden bedrijven aan om het volgende in overweging te nemen ter voorbereiding op de AVG en het Privacy Shield:

• Voer een gegevensinventarisatie uit om inzicht te krijgen in welke persoonsgegevens uw organisatie verzamelt, hoe deze worden verwerkt, waar ze worden opgeslagen, hoe ze worden beschermd en wie er toegang toe heeft. Zorg voor processen om privacy-effectbeoordelingen uit te voeren als uw organisatie mogelijk risicovolle verwerkingen uitvoert (het is waarschijnlijk dat u een dergelijke beoordeling moet uitvoeren als uw organisatie bepaalde speciale categorieën persoonsgegevens verwerkt). 
• Begin met het opstellen of herzien van uw schriftelijke informatiebeveiligingsbeleid om ervoor te zorgen dat de juiste technische, administratieve en fysieke maatregelen worden genomen om persoonsgegevens te beschermen en zorg voor een goede opleiding van al uw medewerkers. Zorg ervoor dat er procedures zijn om voortdurend toe te zien op de naleving van dit beleid vóór, tijdens en na de verwerking van persoonsgegevens. Begin met het uitvoeren van een gap-analyse en overweeg deelname aan certificeringsprogramma's. 
• Houd gedetailleerde gegevens bij van de verwerking van persoonsgegevens. 
• Evalueer uw productontwikkelingsproces om ervoor te zorgen dat privacyrisico's in een vroeg stadium van het proces worden meegenomen en dat uw producten en diensten alleen de minimale hoeveelheid persoonsgegevens verzamelen en bewaren die nodig is voor de goede werking van de producten en diensten. 
• Controleer en werk uw privacybeleid bij om ervoor te zorgen dat het gemakkelijk toegankelijk is, in duidelijke en begrijpelijke taal is geschreven en volledige openheid biedt over uw gegevensverzameling en -verwerking. Privacy Shield vereist ook dat u methoden implementeert, die in uw privacybeleid worden beschreven, waarmee individuen hun klachten kunnen indienen. 
• Controleer en herzie uw methoden voor het verkrijgen van toestemming van betrokkenen om ervoor te zorgen dat er specifieke, geïnformeerde en ondubbelzinnige opt-in-toestemming wordt gegeven voordat gegevens worden verwerkt. 
• Controleer of u kunt voldoen aan het recht van de betrokkene om te worden vergeten en aan de nieuwe rechten inzake gegevensoverdraagbaarheid. U moet in staat zijn om persoonsgegevens te wissen en de gegevens over te dragen aan een andere aanbieder wanneer dit technisch haalbaar is. 
• Controleer uw rampenplannen voor cyberincidenten en werk deze indien nodig bij, zodat u binnen 72 uur na een inbreuk melding kunt doen bij de toezichthoudende autoriteiten. 
• Als u BCR's of SCC's gebruikt voor trans-Atlantische gegevensstromen, moet u deze controleren op naleving van de nieuwe vereisten van de AVG. Stel indien nodig aanvullingen op SCC's en andere contracten op om te voldoen aan de beperkingen voor verdere doorgifte van het Privacy Shield. Dit houdt onder meer in dat u ervoor zorgt dat downstream-entiteiten zich houden aan de beperkingen met betrekking tot het doel en voldoen aan alle vereisten van het Privacy Shield, inclusief het herstellen van ongeoorloofde verwerking door de downstream-entiteit. 
• Begin met het zoeken naar gekwalificeerde functionarissen voor gegevensbescherming (DPO's). Volgens de AVG moeten organisaties die regelmatig of systematisch persoonsgegevens verzamelen als onderdeel van hun kernactiviteiten, of die grote hoeveelheden gevoelige persoonsgegevens verwerken, een DPO aanstellen die de bevoegdheid en onafhankelijkheid heeft om de organisatie te informeren over hun verplichtingen onder de AVG, de naleving te controleren, het interne personeel van de organisatie op te leiden en interne audits uit te voeren. De DPO fungeert ook als contactpersoon van de organisatie voor vragen van betrokkenen, intrekking van toestemming, verzoeken om te worden vergeten en andere gerelateerde rechten. 
• Controleer uw verzekeringspolissen op de reikwijdte en beperkingen van de dekking. Ga na of uw polis wereldwijde of bedrijfsdekking biedt, welke soorten gegevensproblemen worden gedekt en of er sprake is van mogelijk hogere kosten en aansprakelijkheden onder de AVG en het Privacy Shield.

Bedrijven moeten zich ervan bewust zijn dat de AVG het onderwerp privacy en bescherming van persoonsgegevens nog verder verschuift van een IT-kwestie naar een kwestie voor de raad van bestuur en het topmanagement. De AVG zal een enorme impact hebben op de dagelijkse bedrijfsvoering, de kosten en de potentiële aansprakelijkheid van het bedrijf, wat de aandacht van de raad van bestuur vereist. Bovendien moeten beursgenoteerde bedrijven volgens de Sarbanes-Oxley-wet in de Verenigde Staten mogelijk de hogere operationele kosten en de potentiële hoge aansprakelijkheid als gevolg van de AVG aan hun investeerders bekendmaken.

Gevolgen voor uw bedrijf

De afwijzing door de Artikel 29-groep brengt het Amerikaanse Ministerie van Handel en de Europese Commissie, die na bijna twee jaar onderhandelen gezamenlijk het Privacy Shield hebben voorgesteld, in een lastige positie. Het besluit zorgt voor grote onzekerheid bij Amerikaanse organisaties over hoe zij hun diensten aan EU-burgers moeten blijven leveren en brengt deze organisaties in gevaar voor verdere handhavingsmaatregelen door Europese gegevensbeschermingsautoriteiten. Het Privacy Shield was echter niet noodzakelijkerwijs een gemakkelijke oplossing voor veel organisaties, ook niet voor organisaties die overwogen zich aan te melden voor het Privacy Shield, indien en wanneer dit zou worden aangenomen. Bovendien kan het Privacy Shield door het Europees Hof van Justitie ongeldig worden verklaard om soortgelijke redenen als waarom Safe Harbor ongeldig werd verklaard. Hoewel het Privacy Shield, indien en wanneer het wordt aangenomen, een van de toegestane methoden zou zijn om persoonsgegevens tussen de VS en de EU over te dragen, is de beslissing om toe te treden er een die elke Amerikaanse organisatie niet lichtvaardig moet nemen, aangezien het slechts een van de verschillende mechanismen is om trans-Atlantische gegevensoverdrachten mogelijk te maken, zoals de EU-modelcontractbepalingen (SCC's) en bindende bedrijfsregels (BCR's). Hoewel beide complexer zijn dan het Privacy Shield, is hun relatieve zekerheid op dit moment wellicht de beste optie voor trans-Atlantische gegevensstromen. De toereikendheid van elk van deze methoden zal echter naar verwachting ook worden beoordeeld door de Artikel 29-groep na de goedkeuring van het Privacy Shield door de Europese Commissie. Bovendien zullen bedrijven vrijwel zeker opnieuw inspanningen moeten leveren om deze methoden in te voeren om te voldoen aan de komende AVG.

Hoewel de AVG bedoeld is om de gegevensbescherming in alle 28 lidstaten van de EU te harmoniseren, worden bepaalde bepalingen van de nieuwe verordening overgelaten aan lokale wetgeving (bijvoorbeeld op het gebied van de verwerking van gezondheidsinformatie en de leeftijd van toestemming), wat zal leiden tot aanhoudende complexiteit voor alle organisaties om aan de verordening te voldoen. Hoewel het pas over twee jaar verplicht is om volledig aan de AVG te voldoen, moeten organisaties zich nu al vertrouwd maken met de bepalingen van de AVG en beginnen met de planning voor de implementatie, omdat overtredingen van de AVG na de inwerkingtreding ervan kunnen leiden tot boetes van maximaal vier procent van de wereldwijde omzet van de organisatie of 20 miljoen euro, afhankelijk van welk bedrag het hoogst is.

Details van het besluit van de Groep gegevensbescherming artikel 29

Tijdens de langverwachte persconferentie op 13 april 2016 gaf voorzitter Falque-Pierrotin aan dat het Privacy Shield weliswaar een "aanzienlijke verbetering" was ten opzichte van het inmiddels ongeldig verklaarde Safe Harbor-kader, maar dat de Artikel 29-groep van mening was dat er nog werk aan de winkel was en drong er bij de Europese Commissie op aan om de bezwaren weg te nemen. In de aankondiging werd een aantal problemen met het Privacy Shield-voorstel beschreven:

• De documenten en bijlagen die door de Amerikaanse regering werden verstrekt, waren "vrij complex" en niet altijd consistent, waardoor het voor de Artikel 29-groep moeilijk was om het voorstel in zijn geheel te begrijpen. Voorzitter Falque-Pierrotin gaf aan dat het beter zou zijn geweest als het voorstel eenvoudiger en minder complex was geweest. 
• De beperking van het doel was niet duidelijk en maakte mogelijk het hergebruik van persoonsgegevens voor een groot aantal doeleinden en overdrachten mogelijk. 
• Er wordt niet expliciet ingegaan op wat de toegestane reikwijdte van gegevensbewaring is en daarom blijft het onduidelijk wat de verplichtingen van een organisatie zijn op het gebied van gegevensbewaring en -vernietiging. 
• Te veel mogelijkheden voor individuele verhaalprocedures die voor eindgebruikers te moeilijk te doorlopen zijn. 
• Omdat het Privacy Shield is gebaseerd op de oude richtlijn inzake gegevensbescherming, moet het kader kunnen worden aangepast aan de nieuwe AVG. 
• De zes uitzonderingen voor massale surveillance (waaronder een ongedefinieerd doel van "terrorismebestrijding") bieden te veel mogelijkheden voor grootschalige, willekeurige surveillance. 
• De onafhankelijkheid en handhavingsbevoegdheid van de nieuwe ombudsman zijn twijfelachtig.

Voorzitter Falque-Pierrotin gaf aan dat toezicht en de ombudsman de belangrijkste aandachtspunten waren voor de Artikel 29-werkgroep. Met betrekking tot toezicht beschreef zij dat de "massale en willekeurige" verzameling van bulkgegevens door de Amerikaanse overheid niet was aangepakt en dat er nog steeds een onaanvaardbare mogelijkheid bestond voor een dergelijke verzameling die niet volledig werd aangepakt door het Privacy Shield.

Bij de beschrijving van de nieuwe rol van de ombudsman uitte voorzitter Falque-Pierrotin haar bezorgdheid dat, hoewel de instelling van deze nieuwe functie een belangrijke stap voorwaarts is, er nog steeds bezorgdheid bestaat dat de ombudsman misschien geen echt onafhankelijke autoriteit is met effectieve bevoegdheden om het Privacy Shield te handhaven. De ombudsman zou, zoals momenteel voorgesteld, worden benoemd door en rapporteren aan de Amerikaanse minister van Buitenlandse Zaken.

Volgende stappen voor Privacy Shield

Hoewel deze beslissing de toekomst van het Privacy Shield in twijfel trekt, betekent dit niet noodzakelijkerwijs het einde ervan. De beslissing van de Artikel 29-groep is adviserend van aard en de Europese Commissie wacht nog steeds op het advies van het Artikel 31-comité alvorens een definitief besluit te nemen. Het Artikel 31-comité bestaat uit vertegenwoordigers van alle EU-lidstaten en zal naar verwachting een positief advies uitbrengen over het Privacy Shield. Een dergelijk besluit zal waarschijnlijk volgen op vergaderingen die gepland staan op 29 april en 19 mei, waar het comité de details van de Privacy Shield-regeling zal bespreken.

Naar aanleiding van de aanbeveling van het artikel 31-comité kunnen de Europese Commissie en het Amerikaanse ministerie van Handel de besprekingen hervatten om verder te werken aan het Privacy Shield en de bezwaren van de artikel 29-groep weg te nemen. Aan de andere kant zijn zowel de aanbevelingen van de Artikel 29-groep als die van het Artikel 31-comité louter adviserend, en kan de Europese Commissie het Privacy Shield nog steeds goedkeuren zoals het is of met eventuele wijzigingen. Het is onduidelijk of de Commissie het Privacy Shield zou implementeren ondanks een afwijzing door de Artikel 29-groep. Er wordt echter veel gespeculeerd dat dit wel het geval zal zijn, gezien de aanzienlijke druk van de Amerikaanse regering en organisaties aan beide zijden van de Atlantische Oceaan. Tijdens een debat over de afronding van de AVG gaf EU-commissaris voor Justitie Vera Jourova, die nauw betrokken is geweest bij de onderhandelingen over het Privacy Shield, aan dat de Commissie "het advies zal bestuderen en de bezwaren in de definitieve beslissing zal behandelen". Een besluit om het Privacy Shield goed te keuren zonder de belangrijkste bezwaren van de Artikel 29-groep weg te nemen, zal echter vrijwel zeker leiden tot juridische procedures voor het Hof van Justitie van de Europese Unie (HvJ-EU), hetzelfde hof dat Safe Harbor ongeldig heeft verklaard vanwege soortgelijke bezwaren over massale surveillance door de NSA in de VS. Voorzitter Falque-Pierrotin bevestigde dat een beroep op het HvJ-EU "altijd een optie is". Deze mogelijkheid, die zou leiden tot nog grotere onzekerheid voor zowel Europese als Amerikaanse organisaties, kan aanzienlijke druk uitoefenen op zowel de Europese Commissie als het Amerikaanse Ministerie van Handel om de kwesties schriftelijk aan te pakken voordat de Europese Commissie een definitief besluit neemt.

Volgende stappen voor de AVG

De AVG wordt eerst gepubliceerd in het Publicatieblad van de Europese Unie (naar verwachting ergens in juni) en wordt 20 dagen na publicatie officieel van kracht. Na de inwerkingtreding volgt een implementatieperiode van twee jaar, waardoor organisaties medio 2018 volledig aan de verordening moeten voldoen.

Legal News Alert maakt deel uit van ons voortdurende streven om actuele informatie te verstrekken over urgente kwesties of branchegerelateerde onderwerpen die van belang zijn voor onze cliënten en onze collega's. Als u vragen heeft over deze update of dit onderwerp verder wilt bespreken, neem dan contact op met uw Foley-advocaat of met:

————————————————–

Aaron Tantleff
Chicago, Illinois
312.832.4367
[email protected]

Chanley Howell
Jacksonville, FL
904.359.8745
[email protected]

Steve Millendorf
San Diego, CA
858.847.6737
[email protected]

Michael Chung
Los Angeles, CA
213.972.4601
[email protected]