Advertentie
Advertentie

Veilige haven voor persoonlijke gegevens

Na meer dan twee jaar onderhandelen werd in november 2000 de Safe Harbor-overeenkomst van kracht tussen de landen van de Europese Unie en de Verenigde Staten. Die overeenkomst kwam er omdat de EU-dataprivacyrichtlijn bepaalt dat informatie niet mag worden uitgewisseld tussen landen die naar EU-normen geen adequate maatregelen hebben genomen om de privacy te beschermen. De Europese Unie heeft immers een privacywetgeving, maar de Verenigde Staten niet. Bijgevolg werd het voor Europese bedrijven onmogelijk de veiligheid van data die aan Amerikaanse bedrijven wordt doorgespeeld te waarborgen. De Safe Harbor-overeenkomst stipuleert zeven gebodsregels voor informatie die aan de VS wordt doorgegeven.Ten eerste hebben toetreders een meldingsplicht: zij moeten consumenten voorlichten over het gebruik dat zij zullen maken van de persoonlijke informatie. Zij moeten ook laten weten hoe en waar consumenten terechtkunnen met vragen en klachten, aan welk type derden zij informatie willen doorspelen en welke keuzemogelijkheden en middelen het bedrijf aanbiedt om het gebruik van of de inzage in persoonlijke informatie te beperken. Bedrijven moeten consumenten bovendien de kans geven zich te verzetten tegen het gebruik van hun gegevens door derden of voor doelen waarvoor de informatie oorspronkelijk niet gegeven werd (opt-out). Wanneer het gaat om gevoelige informatie moet steeds expliciet de toestemming gevraagd worden aan de consument (opt-in). Wanneer informatie doorgespeeld wordt aan derden, moeten bedrijven de regels in verband met de meldingsplicht en het recht op verzet respecteren. Derden moeten eveneens de Safe Harbor-overeenkomst getekend hebben, onder de EU-richtlijn vallen of adequate privacymaatregelen genomen hebben. Als dat niet het geval is, kan het bedrijf een schriftelijk akkoord met de derde partij vragen, waarin ten minste een gelijkwaardig niveau van dataprivacy gegarandeerd wordt.ZelfcertificatieEen vierde regel bepaalt dat individuen het recht moeten krijgen hun gegevens in te kijken, te corrigeren, aan te vullen of te verwijderen, behalve wanneer de kosten om dat recht te waarborgen hoger zijn dan de risicos voor een schending van de privacy van de consument. Bedrijven moeten ook voorzien in behoorlijke maatregelen om persoonlijke gegevens te beschermen tegen verlies, misbruik, onrechtmatige toegang, onthulling, wijzigingen en vernietiging. De gegevens die gevraagd worden moeten ook relevant zijn voor het gebruik dat de onderneming ervan wil maken.Ten slotte moeten bedrijven voorzien in een onafhankelijke, vlot toegankelijke en budgetvriendelijke meldpost waar klanten klachten kunnen laten onderzoeken en schadevergoedingen kunnen vorderen. Er moeten ook procedures ontwikkeld worden om na te gaan of de Safe Harbor-regels nageleefd worden. Er geldt bovendien een verplichting om problemen onmiddellijk op te lossen. Bedrijven die de overeenkomst willen tekenen, kunnen dat doen door een certificaat in te dienen bij de International Trade Administration. Om KMOs niet te ontmoedigen werd beslist dat de certificaten niet door derden uitgereikt moeten worden. Bedrijven die de jaarlijkse zelfcertificatieprocedure negeren, worden echter van de deelnemerslijst geschrapt. KVVDe volledige lijst met bedrijven uit de VS die de overeenkomst hebben ondertekend, is te vinden op www.export.gov/safeharbor, een site van de Amerikaanse overheid.