Phileas Fogg staat bekend om zijn reis rond de wereld in 80 dagen, maar als het om wereldhandel gaat, kunnen consumenten hetzelfde doen met slechts één klik. Nieuwste FTC-actie raakt aan de internationale implicaties van consumentenbescherming.
SecurTest is een in Florida gevestigd bedrijf voor achtergrondonderzoek dat beweert deel te nemen aan de EU-VS en Zwitsers-VS Privacy Shield-programma’s. Privacybescherming stelt een proces vast waarmee bedrijven consumentengegevens van landen van de Europese Unie en Zwitserland naar de Verenigde Staten kunnen overdragen in overeenstemming met de EU- en Zwitserse wetgeving. Om deel te nemen moeten bedrijven een zelfcertificeringsproces bij het ministerie van Handel Dan hercertificering elk jaar. Deelname aan het Privacy Shield is vrijwillig, maar de FTC kan actie ondernemen als bedrijven misleidende uitspraken doen over hun status.
Volgens klachtSecurTest begon in september 2017 met de implementatie van Privacy Shield. Kort daarna voegde het bedrijf onderaan de webpagina tekst toe om aan te geven dat de implementatie in behandeling was. Er gingen echter enkele maanden voorbij en SecurTest voltooide de aanvraag niet. Maar tot juli 2018 – toen de FTC de kwestie ter sprake bracht – zei het bedrijf in zijn privacybeleid dat het “voldoet aan het EU-VS Privacy Shield Framework en het Zwitsers-Amerikaanse Privacy Shield Framework” en dat het “aan het Ministerie van Handel heeft verklaard dat het voldoet aan de Privacy Shield Principles.”
In de klacht wordt gesteld dat de beweringen van SecurTest over deelname aan het Framework onjuist zijn. Om deze zaak op te lossen heeft het bedrijf dat gedaan overeengekomen geeft geen verkeerde voorstelling van zaken over zijn deelname aan een privacy- of beveiligingsprogramma dat wordt gesponsord door een overheidsinstantie, zelfregulerende groep of normbepalende organisatie. De FTC accepteert publieke opmerkingen over de voorgestelde schikking.
In een gerelateerde ontwikkeling, FTC-personeel waarschuwingsbrieven gestuurd naar 13 bedrijven die ten onrechte verklaarden dat zij deelnamen aan de Amerikaans-EU Safe Harbor- en de Amerikaans-Zwitserse Safe Harbor-raamwerken. Hoe kunnen we er zo zeker van zijn dat hun beweringen vals zijn? Omdat het Privacy Shield in 2016 de Safe Harbor Frameworks heeft vervangen. De Safe Harbor Agreement is niet meer van kracht en de laatste geldige zelfcertificering is al lang verlopen. In de brief wordt de bedrijven gevraagd om elke vermelding van deelname aan de Safe Harbor-activiteiten van hun sites, privacybeleid of andere openbare documenten te verwijderen. De bedrijven hebben inmiddels hun Safe Harbor-claims ingetrokken. Als ze niet binnen 30 dagen actie ondernemen – ja, er is een reden waarom ze waarschuwingsbrieven worden genoemd.
FTC-personeel ook waarschuwingsbrieven naar twee bedrijven gestuurd die in haar privacybeleid ten onrechte beweert dat zij deelneemt aan het Asia-Pacific Economic Cooperation Cross-Border Privacy Rules-systeem. Het APEC CBPR-systeem is een initiatief om de bescherming van consumentengegevens die tussen APEC-lidstaten worden verzonden, te verbeteren. Om een gecertificeerde deelnemer te worden, moeten aangewezen derde partijen – zij worden APEC-erkende Accountability Agents genoemd – beoordelen en certificeren dat het bedrijf voldoet aan de programmavereisten.
Net als andere waarschuwingsbrieven verzendt de brief een ‘We komen terug’-bericht en schetst de opties van het bedrijf: 1) Verwijder onmiddellijk alle claims die deelname aan de CBPR vermelden of impliceren; 2) Registreer u om een gecertificeerde deelnemer te worden, maar verwijder alle verwijzingen naar hun betrokkenheid, tenzij en totdat zij gecertificeerd zijn; of 3) Niets doen, maar met het duidelijke inzicht dat de FTC zich het recht voorbehoudt om passende juridische stappen te ondernemen om de integriteit van het APEC CBPR-systeem te beschermen. Deze bedrijven hebben ook hun valse beweringen over CBPR verwijderd.
De voorgestelde schikkings- en waarschuwingsbrief biedt drie tips voor andere bedrijven.
- Vermijd valse starts. Uw bedrijf heeft dus een aanvraag ingediend om vrijwillig deel te nemen aan initiatieven zoals het EU-VS Privacy Shield, het Zwitsers-VS Privacy Shield of het APEC CBPR-systeem. Goed voor u, maar prijs uw deelname nog niet. Totdat uw aanvraag is afgerond en goedgekeurd, is het misleidend om aan consumenten over te brengen – door middel van woorden, logo’s of op enige andere wijze – dat uw bedrijf deelnemer is.
- Deelname aan het Privacy Shield vereist voortdurende naleving. Deelname aan het Privacy Shield is niet eenvoudig. Een belangrijk onderdeel is het jaarlijkse zelfcertificeringsproces, waarbij u de huidige praktijken van uw bedrijf moet beoordelen. Als u uw certificering laat verlopen, betekent dit dat uw claim van deelname onjuist is. Het is verstandiger om een jaarlijkse herinnering aan uw agenda toe te voegen hercertificering bij het Ministerie van Handel vóór de vervaldatum van de huidige certificering van uw bedrijf.
- Probeer niet voor anker te gaan in Safe Harbor. Controleer uw website en andere documentatie om er zeker van te zijn dat uw bedrijf geen reclame maakt voor zijn deelname aan het inmiddels ter ziele gegane Amerikaans-EU- of Amerikaans-Zwitserse Safe Harbor-raamwerk.
