De Europese Commissie stelt in haar derde jaarlijkse evaluatie van Privacy Shield - de opvolger van Safe Harbor privacy-afspraken met de VS - dat het systeem beter presteert dan een jaar geleden. De Commissie stelt dat het Amerikaanse toezicht op het systeem is verbeterd, evenals de mogelijkheden om verhaal te halen door partijen die menen dat hun privacy-rechten mogelijk zijn geschonden.
Ongeveer 5.000 bedrijven nemen deel aan Privacy Shield. Zij hebben in het kader van de overeenkomst afgesproken bepaalde controles en processen toe te passen die ervoor moeten zorgen dat persoonlijke gegevens worden beschermd wanneer zij tussen de EU en de VS worden uitgewisseld. Een voorbeeld is de overdracht van HR-gegevens van Europese werknemers van een Amerikaans bedrijf. Het systeem werd drie jaar geleden opgetuigd nadat het EU-Hof van Justitie Safe Harbor buiten werking stelde. Het hof deed dit omdat het vond dat de VS niet genoeg deden om te voldoen aan de EU-vereisten inzake gegevensbescherming.
Meer systematisch toezicht
Als verbeteringen wordt opgemerkt dat het Amerikaanse ministerie van Handel op een meer systematische manier zorgt voor het nodige toezicht. Bijvoorbeeld door maandelijkse steekproef-controles van bedrijven uit te voeren om de naleving van de Privacy Shield-principes te verifiëren. De handhavingsmaatregelen zijn ook verbeterd, waarbij de Federal Trade Commission (FTC) in zeven gevallen handhavingsmaatregelen heeft genomen.
Bovendien maakt een toenemend aantal EU-burgers gebruik van hun rechten onder de privacy-overeenkomst. De hiervoor ontwikkelde mechanismen werken goed, aldus de Commissie. Naast de benoeming van de permanente ombudspersoon zijn de laatste twee vacatures in de Raad voor toezicht op privacy en burgerlijke vrijheden vervuld, zodat deze voor het eerst volledig bemand is.
Aanvullende stappen voor verbetering
De Commissie heeft wel aanvullende stappen voor verbetering aanbevolen. Die omvatten het verder versterken van het (her) certificatieproces voor bedrijven die willen deelnemen, door de duur van het certificatieproces te verkorten; uitbreiding van nalevingscontroles; het ontwikkelen van aanvullende richtlijnen voor bedrijven met betrekking tot personeelsgegevens.
De Commissie verwacht ook van de FTC dat zij haar onderzoek naar de naleving van de inhoudelijke vereisten van het privacyschild opvoert en de Commissie en de EU-gegevensbeschermingsautoriteiten informatie verstrekt over lopende onderzoeken.
