De in de Artikel 29-werkgroep verenigde Europese privacy-toezichthouders willen dat de Europese Commissie de Safe Harbor-overeenkomst met de VS opschort als discussies tussen de EC en de VS over aanbevelingen ter verbetering van de privacywaarborgen in Safe Harbor niet leiden tot een positieve uitkomst. Dat laten de toezichthouders in een brief aan Eurocommissaris Reding weten, aldus de Nederlandse privacytoezichthouder CBP.
De Safe Harbor-overeenkomst bepaalt hoe er wordt omgegaan met de uitwisseling van persoons- en andere gegevens tussen de EU en de VS. De toezichthouders onderschrijven de positie van Reding dat het vertrouwen in gegevensdoorgifte van de EU naar de VS alleen kan worden hersteld als ook de waarborgen van Safe Harbor worden verstevigd. Het is twijfelachtig of de Safe Harbor-overeenkomst uit 2000 in de huidige vorm voldoende bescherming biedt aan Europese burgers, aldus de privacytoezichthouders.
In november 2013 stelde Reding dat de EC met de Amerikaanse overheid ging overleggen over de uitwisseling van gegevens tussen de EU en de VS, naar aanleiding van alle publicaties over de wijze waarop de Amerikaanse veiligheidsdienst NSA mondiaal internet- en telefoonverkeer had afgetapt. Concreet kwam de Commissie met 13 aanbevelingen om databescherming te verbeteren, waaronder een stringentere aanpak van Amerikaanse ondernemingen die gegevens van Europese burgers aan Amerikaanse inlichtingendiensten overdragen en de invulling van de overeenkomst zelf. De aanbevelingen waren gebaseerd op een analyse van overeenkomst, met name de uitwisseling van persoonsgegevens voor commerciële doelen, gegevensbescherming in het algemeen, de uitwisseling van passagierslijsten in vliegtuigen en de maatregelen om geldstromen van terrorisme.
Amerikaanse bedrijven kunnen zich via zelfcertificering vrijwillig voor Safe Harbor aanmelden. De Europese Commissie heeft besloten dat Amerikaanse bedrijven die zich bij Safe Harbor hebben aangesloten, een naar Europese standaarden adequaat beschermingsniveau voor de verwerking van persoonsgegevens bieden.
Microsoft meldde in april dat zijn Enterprise Cloud contracten zijn getoetst door de Artikel 29 Werkgroep. Microsoft stelt het eerste bedrijf te zijn met deze erkenning. Concreet betekent het dat de dienstverlening gecontinueerd wordt, mocht de EU de Safe Harbor Agreement met de VS opschorten.
Andere onderwerpen
Tijdens de 95e plenaire vergadering op 9 en 10 april 2014 van de Artikel 29-werkgroep is verder gesproken over de herziening van de Europese privacywetgeving, anonimiseringstechnieken en de rechtsgrondslag ‘gerechtvaardigd belang’ voor verwerking van persoonsgegevens.
Gegevensverwerkingen in de EU moeten gebaseerd worden op één van de zes rechtsgrondslagen uit artikel 7 van de huidige Richtlijn 95/46, aldus de privacytoezichthouders. Gerechtvaardigd belang is één van de genoemde rechtsgrondslagen. Om te bepalen of deze rechtsgrondslag kan worden gebruikt voor een bepaalde verwerking, moeten de legitieme belangen van de verantwoordelijke, of een derde partij aan wie de gegevens beschikbaar zijn gesteld, worden afgewogen tegen de belangen en grondrechten van de betrokken partijen. De Artikel 29-werkgroep heeft nu gespecificeerd aan welke voorwaarden een organisatie moet voldoen en welke stappen deze moet nemen als een bedrijf of instelling op basis van deze rechtsgrond persoonsgegevens wil verwerken.
Verder is er tijdens de plenaire sessie een standpunt ingenomen over wat wordt omschreven als ‘één van de meest bediscussieerde onderwerpen’ bij de herziening van het wettelijk kader in de EU voor de gegevensbescherming: de één loket- ofwel one-stop-shop-benadering. De werkgroep stelt een compromistekst voor tussen de positie van het Europees Parlement en de voorstellen die in de Europese Raad worden besproken, met de belangrijkste elementen waar een one-stop-shop aan moet voldoen.
Op het gebied van anonimiseringstechnieken heeft de werkgroep gekeken naar de effectiviteit en de grenzen van de bestaande anonimiseringstechnieken. Volgens de werkgroep moet anonimisering niet gezien worden als een eenmalige oefening. Bedrijven en overheden moeten regelmatig de risico’s analyseren omdat de ontwikkelingen op het gebied van anonimiseren en heridentificeren continue doorgaan. Pseudonimiseren, zo besluit de werkgroep is geen anonimiseringsmethode, maar slechts een beveiligingsmaatregel om privacyrisico’s te verkleinen.
