image

FTC schikt met bedrijven die logen over Privacy Shield-certificering

vrijdag 28 september 2018, 10:50 door Redactie, 3 reacties

De Amerikaanse toezichthouder FTC heeft een schikking met vier Amerikaanse bedrijven getroffen die claimden aan de Privacy Shield-certificering te voldoen, terwijl dat niet het geval was. Privacy Shield regelt het uitwisselen van persoonsgegevens tussen de Europese Unie en de Verenigde Staten.

Het verdrag vervangt de Safe Harbour-overeenkomst die in 2015 door het Europees Hof van Justitie ongeldig werd verklaard. Onder het nieuwe verdrag worden verschillende eisen aan bedrijven gesteld die gegevens verwerken. Ook zijn er beveiligingsmaatregelen ingebouwd wat betreft de toegang van uitgewisselde gegevens door de Amerikaanse autoriteiten. Verder moet Privacy Shield de individuele rechten beschermen.

Amerikaanse bedrijven moeten zich door het Amerikaanse ministerie van Handel laten certificeren dat ze aan het verdrag voldoen. Drie van de vier bedrijven met wie de FTC schikte hadden hun certificering laten verlopen, maar claimden dat ze nog steeds waren gecertificeerd. Het vierde bedrijf had zich voor certificering aangemeld, maar nooit alle noodzakelijke stappen doorlopen.

Verder hielden twee van de vier bedrijven zich niet aan de Privacy Shield-regels dat bedrijven die niet meer aan het verdrag deelnemen, de Privacy Shield-regels blijven toepassen voor de persoonlijke informatie die ze tijdens deelname aan het verdrag hebben verzameld. Als onderdeel van de schikking mogen de vier bedrijven geen verkeerde voorstelling meer geven van deelname aan privacy- of databeveiligingsprogramma's. Daarnaast moeten twee bedrijven de Privacy Shield-regels toepassen op de informatie die ze hebben verzameld toen ze nog wel gecertificeerd waren, of anders binnen 10 dagen de informatie teruggeven of verwijderen.

Reacties (3)
28-09-2018, 11:15 door Anoniem
Wel dat is mooi,
De amerikaanse FTC wordt rijker, de Europses burgers/bedrijven zijn de gebeten hond.
Is er hier sprake van gebrekkige berichtgeving, en komt er ook compensatie richting de 'slachtoffers'?

Overigens is nu GDPR van toepassing, en volgens mij vervangt dat het 'privacy shield'.
Kortom de bedrijven zijn dus ook daarmee in overtreding geweest, gedurende de introductie tot aan de corrigerende maatregelen die de bedrijven nu moeten treffen/hebben getroffen (Hoe geef je informatie terug?).

Weet iemand hoe hoe met de overgang "privacy shield" naar GDPR wordt omgegaan?
28-09-2018, 15:03 door Anoniem
(Andere) Anoniem, ik heb geen antwoorden op je vragen maar wil je gedachtegang op een punt corrigeren. De AVG/GDPR (Europese regelgeving) vervangt Privacy Shield niet. Privacy Shield is een methode om "geldig" gegevens te transferren buiten het EER gebied (data transfer mechanism), namelijk naar organisaties in de VS die Privacy Shield-certified zijn. Onder de AVG mag dat in de regel alleen naar gebieden die op de één of andere manier een passende bescherming van persoonsgegevens en de rechten en vrijheden van de betrokkenen kunnen waarborgen. Organisaties in de VS kunnen dit vooralsnog regelen door zich te certificeren onder Privacy Shield, hiermee aangevende dat als zij persoonsgegevens verwerken, de persoonsgegevens - en de rechten en vrijheden van de betrokkenen - op een vergelijkbare manier zullen beschermen zoals dat binnen de EER wordt gewaarborgd.
30-09-2018, 00:59 door Anoniem
Door Anoniem: (Andere) Anoniem, ik heb geen antwoorden op je vragen maar wil je gedachtegang op een punt corrigeren. De AVG/GDPR (Europese regelgeving) vervangt Privacy Shield niet. Privacy Shield is een methode om "geldig" gegevens te transferren buiten het EER gebied (data transfer mechanism), namelijk naar organisaties in de VS die Privacy Shield-certified zijn. Onder de AVG mag dat in de regel alleen naar gebieden die op de één of andere manier een passende bescherming van persoonsgegevens en de rechten en vrijheden van de betrokkenen kunnen waarborgen. Organisaties in de VS kunnen dit vooralsnog regelen door zich te certificeren onder Privacy Shield, hiermee aangevende dat als zij persoonsgegevens verwerken, de persoonsgegevens - en de rechten en vrijheden van de betrokkenen - op een vergelijkbare manier zullen beschermen zoals dat binnen de EER wordt gewaarborgd.

Dank voor de duidelijke uitleg (anoniem 28-09-2018,11:15)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.