De EU en de VS zijn de onderhandelingen begonnen over de opvolging van het Privacy Shield voor het delen van data. De uitkomst bepaalt de opslag van privacygevoelige gegevens in Amerika. Sinds het Europese Hof van Justitie de Privacy Shield-overeenkomst nietig heeft verklaard, verkeren duizenden Nederlandse bedrijven die clouddiensten gebruiken, in onzekerheid.
De EU hoopt de Amerikanen ervan te overtuigen dat hun wetgeving moet worden aangepast. De EU vindt dat Amerikaanse inlichtingendiensten te gemakkelijk in databanken rondneuzen. Tijdens de onderhandelingen met Washington wordt eerst ‘het potentieel voor een verbeterd Privacy Shield’ geëvalueerd. Een mogelijke oplossing zou zijn dat Europese burgers recht zouden krijgen op verhaal als ze vinden dat hun persoonlijke data onrechtmatig door Amerikaanse justitiële autoriteiten of inlichtingendiensten zijn gebruikt.
Het is evenwel lastig de afstand te verkleinen tussen de Europese wetgeving op gebied van privacy en mensenrechten, en de Amerikaanse wetgeving. Een ‘Amerikaanse GDPR’ zit er voorlopig niet in. Het is ook de vraag of een wisseling van de presidentiële macht in Washington veel uithaalt. De Amerikanen vinden hun veiligheid belangrijker dan hun privacy.
Juristen verschillen van mening over de kansen dat de EU en de VS tot een akkoord komen. Een woordvoerder van het grote advocatenkantoor Hogan Lovells denkt dat de kloof wel is te overbruggen. ‘Hoewel een snelle oplossing onwaarschijnlijk is, is die niet onmogelijk’, stelt hij.
1. de Amerikanen vinden hun veiligheid belangrijker dan hun privacy
2. mogelijke oplossing : Europese burgers – en bedrijven? – krijgen recht op verhaal als ze vinden dat hun persoonlijke data onrechtmatig door Amerikaanse justitiële autoriteiten of inlichtingendiensten zijn gebruikt
Eeehhhmmm. ……. ja ja.
Dus een Europese burger – en bedrijven? – moet in de VS een proces beginnen tegen een justitiële autoriteit of inlichtingendienst over de afweging tussen persoonlijke privacy en bescherming van de belangen van Amerikaanse burgers.
Veel succes. We weten hoe dat in het verleden is gelopen.
Bovendien hebben de meeste Europese bedrijven en overheden al decennia moeite om maar een AVG-basisniveau (‘AVG-compliance’) te bereiken. En nu klaagt men steen en been over hoe ‘moeilijk en ingewikkeld’ het allemaal is.
Die Standard Contractual Clauses (SCC’s) en Binding Corporate Rules (BCR’s) zijn voor de meesten al te hoog gegrepen, laat staan US Litigation & Enforcement.
Met name het MKB doet er goed aan te zekeren dat privacygevoelige informatie uitsluitend in GDPR-landen wordt opgeslagen bij non-US bedrijven of dochters/onderdelen daarvan.
Een eenvoudige oplossing is niet gebruik te maken van americaanse bedrijven. Als die namelijk geen product kunnen leveren dat aan de wet voldoet hier in europa, dan houdt het gewoon op.