Amerika beschermt onze privacy

Deze herfst vallen er in Amerika niet alleen bladeren van de bomen. Vanaf dan liggen er ook gegevens over personen uit de Europese lidstaten voor het grijpen. Hoe zit dat met de privacy?

Vanaf het najaar kunnen alle persoonlijke gegevens die in de Europese lidstaten zijn verzameld, ongehinderd naar Amerika worden doorgegeven. Voorwaarde is dat de ontvanger de regels tot bescherming van de privacy naleeft. Die regels kan hij zichzelf hebben opgelegd ofwel hebben onderschreven bij een organisatie die speciaal daartoe in het leven is geroepen.

Na anderhalf jaar onderhandelen is er nu dus een voorstel van het Amerikaanse ministerie van Handel dat de safe harbor-principes voor persoonsgegevens vastlegt. Het voorstel zou voor de Europeanen aanvaardbaar moeten zijn. De Europese Commissie steunt het in ieder geval, maar de lidstaten moeten het nog goedkeuren (met gekwalificeerde meerderheid) en ook het parlement wil zijn zegje hebben. De kans dat het akkoord wordt aanvaard, is groot. Het voorstel volgt immers – naar de geest – de Europese richtlijn ter zake die in oktober 1998 van kracht werd.

Hoe?

Zowel voor de Europese Unie als de Verenigde Staten is de bescherming van de privacy belangrijk. Alleen zijn ze het niet eens over de meest geschikte wijze om dit doel te bereiken: Europa heeft weerom zijn toevlucht gezocht in voor de lidstaten bindende wetgeving, Amerika houdt het veel liever bij zelfregulering, die indien ze niet wordt nageleefd, kan leiden tot sancties binnen de wetgeving op de handelspraktijken.

Of die zelfregulering wel een afdoende bescherming kan bieden, was de inzet voor de onderhandelingen. Europa wil enerzijds dat het doorgeven van persoonsgegevens tussen de lidstaten ongehinderd kan verlopen, met inachtneming van de wettelijke bepalingen. Maar anderzijds eist het ook dezelfde garantie van landen buiten Europa die deze gegevens eveneens willen gebruiken. Er moesten dus akkoorden komen.

Amerika tilde nogal zwaar aan het ‘gedoe’ en vond dat de regeling ook kon worden geïnterpreteerd als een handelsbelemmering. Wie Europa geen genoegdoening gaf, kon ook geen zaken doen in activiteiten waarvoor persoonsgegevens noodzakelijk zijn. De Amerikaanse wrevel en bezorgdheid waren begrijpelijk: had Europa in de motivering voor de richtlijn op de privacy niet beklemtoond dat het protectionisme van de lidstaten op het vlak van de persoonsgegevens juist een ernstige belemmering vormde voor de verdere uitbouw van de interne markt en de informatiemaatschappij? De ontwikkeling van de e-handel, die door de staats- en regeringsleiders in Lissabon als een absolute prioriteit naar voren werd geschoven, is per definitie transnationaal. Wie hierin een rol wil spelen, is wel verplicht met de andere handelsblokken oplossingen te zoeken voor het probleem van de privacy.

FAQ’s.

Maar de kogel lijkt nu dus door de kerk. Als de overeenkomst in juni wordt aanvaard, geldt ze voor alle lidstaten. Geen enkel Amerikaans bedrijf kan worden verplicht om de principes te onderschrijven op de bescherming van de privacy zoals die zijn uitgewerkt in het safe harbor-voorstel. Maar wie het niet doet, kan geen persoonsgegevens uit Europa krijgen.

Wat allemaal kan en niet kan, is nu door de Amerikanen in veertien Frequently Asked Questions (FAQ’s) vastgelegd. Die Q and A is een vast onderdeel van de overeenkomst, al moeten de antwoorden op sommige vragen eerst nog door bepaalde organisaties worden goedgekeurd.

De commissie die het Amerikaanse voorstel nu ter goedkeuring voorlegt, is van mening dat de persoonsgegevens op een afdoende wijze worden beschermd. Bedrijven en organisaties moeten uitdrukkelijk en publiekelijk aangeven dat ze de principes zullen naleven en dat ze gebonden zijn door de wettelijke regeling van een overheidsinstelling. Deze instantie kan klachten onderzoeken, optreden tegen oneerlijke en misleidende praktijken en de mogelijkheid van verhaal voorzien voor al wie zich benadeeld weet, ongeacht nationaliteit of woonplaats.

Redelijk.

De Amerikaanse voorstellen sluiten nauw aan bij de Europese richtlijn over het vragen van toestemming voor het gebruik van de persoonsgegevens, de verantwoordelijkheid van de vervoerder van de gegevens en de rechten van het individu om gegevens op te vragen en in te kijken. Wat dit laatste betreft, staat er te lezen dat ” elke persoon het fundamenteel recht heeft op privacy en dus ook moet kunnen nagaan of de informatie over hem of haar wel correct is, maar het moet allemaal redelijk blijven. Het recht op de informatie is niet absoluut“. Om onnodige kosten te vermijden, geven de Amerikanen de raad eerst uit te zoeken wat de betrokkene echt wil, al moet die niet rechtvaardigen waarom hij of zij de gegevens opvraagt. Er mogen wel (redelijke) kosten worden aangerekend.

Informatie die is verzameld ten behoeve van een arbeidsovereenkomst valt automatisch onder de safe harbor-regeling. Welke persoonsgebonden informatie mag worden verzameld en dus ook doorgegeven, wordt bepaald door de wettelijke regelingen in elk van de Europese lidstaten. Als men gegevens wil gebruiken voor marketingdoeleinden, moet voorafgaandelijk toestemming worden gevraagd aan de betrokkene. Als de data worden aangewend in het kader van bepaalde promoties of personeelswijzigingen is die toestemming niet vereist.

Voorbeeldakkoord.

Het akkoord met de Verenigde Staten is van groot belang voor alle verdere overeenkomsten die met de andere handelsblokken en individuele landen nog moeten worden gesloten. Hoewel het stelsel volledig is gebaseerd op vrijwilligheid en zelfregulering biedt het safe harbor-voorstel een betere bescherming van de data die naar Amerika worden doorgestuurd. De regeling is voorspelbaar en administratief tamelijk eenvoudig en geeft aan hen die ze toepassen de juridische zekerheid dat de transfer van data niet zal worden onderbroken.

huib crauwels