Phileas Fogg stond erom bekend dat hij in 80 dagen de wereld rondreed, maar als het op de mondiale handel aankomt, kunnen consumenten hetzelfde met slechts één klik bereiken. Recent FTC-acties raken aan de internationale implicaties van consumentenbescherming.
SecurTest is een in Florida gevestigd bedrijf voor achtergrondonderzoek dat beweert deel te nemen aan de EU-VS- en Zwitsers-VS-privacyschildprogramma’s. Privacyschild stelt een proces vast waarmee bedrijven consumentengegevens van landen van de Europese Unie en Zwitserland naar de Verenigde Staten kunnen overdragen in overeenstemming met de EU- en Zwitserse wetgeving. Om deel te nemen moeten bedrijven een zelfcertificeringsproces bij het ministerie van Handel en dan hercertificeren jaarlijks. Deelname aan het Privacy Shield is vrijwillig, maar de FTC kan actie ondernemen als bedrijven misleidende verklaringen afleggen over hun status.
Volgens de klachtSecurTest startte zijn Privacy Shield-aanvraag in september 2017. Kort daarna voegde het bedrijf onderaan zijn webpagina tekst toe om aan te geven dat de aanvraag in behandeling was. Er gingen echter maanden voorbij en SecurTest voltooide de aanvraag niet. En toch zei het bedrijf tot juli 2018 – toen de FTC de kwestie ter sprake bracht – in zijn privacybeleid dat het “voldoet aan het EU-VS Privacy Shield Framework en het Zwitsers-Amerikaanse Privacy Shield Framework” en dat het “aan het Ministerie van Handel heeft verklaard dat het zich houdt aan de Privacy Shield Principles.”
In de klacht wordt beweerd dat de bewering van SecurTest over deelname aan het Framework vals was. Om de zaak te schikken, heeft het bedrijf overeengekomen haar deelname aan een privacy- of beveiligingsprogramma dat wordt gesponsord door een overheidsinstantie, zelfregulerende groep of standaardbepalende organisatie niet verkeerd voor te stellen. De FTC accepteert publieke opmerkingen over de voorgestelde schikking.
In een gerelateerde ontwikkeling, FTC-personeel waarschuwingsbrieven gestuurd naar 13 bedrijven die ten onrechte beweerden deel te nemen aan de Amerikaans-EU Safe Harbor- en de Amerikaans-Zwitserse Safe Harbor Frameworks. Hoe kunnen we er zo zeker van zijn dat hun beweringen vals zijn? Omdat Privacy Shield in 2016 de Safe Harbor Frameworks heeft vervangen. De Safe Harbor-afspraken zijn niet meer van kracht en de laatste geldige zelfcertificeringen zijn al lang verlopen. In de brieven werd de bedrijven gevraagd elke vermelding van deelname aan de Veilige Haven van hun sites, privacybeleid of andere openbare documenten te verwijderen. De bedrijven hebben sindsdien hun Safe Harbor-claims ingetrokken. Als ze niet binnen 30 dagen actie hadden ondernomen, dan is er een reden waarom ze waarschuwingsbrieven worden genoemd.
FTC-personeel ook waarschuwingsbrieven naar twee bedrijven gestuurd die in hun privacybeleid ten onrechte beweren dat zij deelnemen aan het Asia-Pacific Economic Cooperation Cross-Border Privacy Rules-systeem. Het CBPR-systeem van APEC is een initiatief om de bescherming van consumentengegevens die zich tussen de economieën van de APEC-lidstaten verspreiden, te verbeteren. Om een gecertificeerde deelnemer te worden, moet een aangewezen derde partij (de zogenaamde APEC-erkende Accountability Agents) beoordelen en certificeren dat het bedrijf voldoet aan de vereisten van het programma.
Net als de andere waarschuwingsbrieven stuurden de brieven een ‘We komen terug’-bericht en schetsten de opties van de bedrijven: 1) Verwijder onmiddellijk elke claim waarin deelname aan de CBPR wordt vermeld of geïmpliceerd; 2) Meld u aan om een gecertificeerde deelnemer te worden, maar verwijder alle verwijzingen naar hun betrokkenheid, tenzij en totdat ze gecertificeerd zijn; of 3) Niets doen, maar met het duidelijke inzicht dat de FTC zich het recht voorbehoudt om passende juridische stappen te ondernemen om de integriteit van het APEC CBPR-systeem te beschermen. Ook deze bedrijven hebben hun valse CBPR-claims ingetrokken.
De voorgestelde schikkings- en waarschuwingsbrieven bieden drie lessen voor andere bedrijven.
- Voorkom een valse start. Uw bedrijf heeft dus een aanvraag ingediend om vrijwillig deel te nemen aan een initiatief zoals het EU-VS Privacy Shield, het Zwitsers-VS Privacy Shield of het CBPR-systeem van APEC. Goed voor u, maar maak uw deelname nog niet bekend. Totdat uw aanvraag is afgerond en goedgekeurd, is het misleidend om aan consumenten te suggereren – door middel van woorden, logo’s of op welke andere manier dan ook – dat uw bedrijf deelnemer is.
- Deelname aan het Privacy Shield vereist voortdurende naleving. Deelname aan het Privacy Shield is geen eenmalig vakje dat u moet controleren. Een belangrijk onderdeel is het jaarlijkse zelfcertificeringsproces, waarbij u een actuele blik werpt op de praktijken van uw bedrijf. Als u uw certificering laat verlopen, worden uw claims over deelname onjuist. Het is verstandiger om een jaarlijkse herinnering aan uw agenda toe te voegen hercertificeren bij het Ministerie van Handel vóór de vervaldatum van de huidige certificering van uw bedrijf.
- Probeer niet aan te meren in de Veilige Haven. Controleer uw website en andere documentatie om er zeker van te zijn dat uw bedrijf zijn deelname aan het inmiddels ter ziele gegane Amerikaans-EU- of Amerikaans-Zwitserse Safe Harbor-raamwerk niet aanprijst.
