VS beschermt data Europese burgers niet genoeg

Het Europarlement roept de Europese Commissie op om het Privacy Shield-akkoord met de VS op te schorten. De Verenigde Staten moeten zich voor 1 september aan regels voor het beschermen van de data van Europese burgers houden.

De resolutie met de oproep werd donderdag aangenomen met 303 stemmen voor, 223 stemmen tegen en 29 onthoudingen.

Gevolgen AVG / GDPR

Het opschorten van deze overeenkomst heeft een enorme impact op het Nederlandse bedrijfsleven. Onder de AVG zijn bedrijven verantwoordelijk voor de persoonsgegevens die zij in beheer hebben c.q. verwerken. Als het Privacy Shield-akkoord niet meer van kracht is, mogen Nederlandse bedrijven geen persoonsgegevens meer verwerken als zij gebruik maken van Amerikaanse bedrijven. Daarbij valt te denken aan: Dropbox, OndeDrive, iCloud, Azure, Office365, Exchange Online, MailChimp en nog veel meer. Voor en compleet overzicht kijkt u op de Privacy Shield website.

Maakt u gebruik van diensten van deze bedrijven dan kan het dus zijn dat u binnenkort niet meer compliant bent met de AVG. Maakt u gebruik van diensten van Amerikaanse bedrijven die niet op de Privacy Shield lijst voorkomen dan voldoet u nu al niet aan de AVG en is het zaak zo snel mogelijk deze diensten te beëindigen en ze elders onder te brengen, bij voorkeur bij bedrijven die in de EU gevestigd zijn.

Waarom deze resolutie?

De VS doet volgens het Europese Parlement niet genoeg om de data van Europese burgers te beschermen. Daarbij verwijst het naar het schandaal rond Cambridge Analytica en Facebook. Dit zijn slechts twee van de duizenden bedrijven die gegevens van Europese burgers onder Privacy Shield verwerkten. Het misbruik voor het beïnvloeden van politieke meningen en verkiezingen toonde volgens Europarlementariërs aan dat de overeenkomst scherper in de gaten gehouden moet worden. Het parlement wijst erop dat volgens Facebook gegevens van 2,7 miljoen Europeanen onterecht gebruikt zijn door Cambridge Analytica.

De Amerikaanse overheid zou in het vervolg sneller en strenger moeten optreden bij misbruik en bedrijven die over de schreef gaan van de Privacy Shield-lijst moeten verwijderen. Het parlement is ook bezorgd over de in maart in werking getreden Cloud-wet, of Clarifying Lawful Overseas Use of Data Act. Deze geeft Amerikaanse autoriteiten de bevoegdheid om bij strafrechtelijke zaken zonder tussenkomst van een rechter in het buitenland opgeslagen gegevens te verzamelen, als deze bijvoorbeeld in een datacenter van een Amerikaans bedrijf zijn opgeslagen. De persoon van wie de gegevens zijn, hoeft hiervoor niet ingelicht te worden.

Privacy Shield-akkoord

Het Privacy Shield-akkoord is in 2016 gesloten en is de opvolger van het Safe Harbour-raamwerk. Bedrijven als Google, Microsoft en Facebook mogen de gegevens van Europese burgers op basis van het Privacy Shield verwerken. De in het akkoord vastgestelde waarborgen moeten garanderen dat de gegevens voldoende beschermd worden.