Phileas Fogg stond erom bekend dat hij in 80 dagen de wereld rondreed, maar als het op de mondiale handel aankomt, kunnen consumenten met slechts één klik hetzelfde bereiken. Recent FTC-acties gevolgen hebben voor de internationale gevolgen van consumentenbescherming.
SecurTest is een in Florida gevestigd bedrijf voor achtergrondonderzoek dat beweert deel te nemen aan de EU-VS- en Zwitsers-VS-privacyschildprogramma’s. Privacyschild stelt een proces vast waarmee bedrijven consumentengegevens van EU-landen en Zwitserland naar de VS kunnen overdragen in overeenstemming met de EU- en Zwitserse wetgeving. Om deel te nemen moeten bedrijven een zelfcertificeringsproces bij het Ministerie van Handel en daarna hercertificeren jaarlijks. Deelname aan het Privacy Shield is vrijwillig, maar de FTC kan actie ondernemen als bedrijven misleidende uitspraken doen over hun status.
Volgens klachtSecurTest startte zijn Privacy Shield-toepassing in september 2017. Kort daarna voegde het bedrijf onderaan de webpagina tekst toe om aan te geven dat de aanvraag in behandeling was. Er gingen echter maanden voorbij en SecurTest voltooide de aanvraag niet. En toch zei het bedrijf tot juli 2018 – toen de FTC de kwestie ter sprake bracht – in zijn privacybeleid dat het “voldoet aan het EU-VS Privacy Shield Framework en het Zwitsers-Amerikaanse Privacy Shield Framework” en dat het “aan het Ministerie van Handel heeft verklaard dat het voldoet aan de Privacy Shield Principles.”
In de klacht wordt beweerd dat de bewering van SecurTest over deelname aan het Framework vals was. Om de zaak te schikken, heeft het bedrijf overeengekomen haar deelname aan een privacy- of beveiligingsprogramma dat wordt gesponsord door een overheidsinstantie, zelfregulerende groep of standaardbepalende organisatie niet verkeerd voor te stellen. De FTC accepteert publieke opmerkingen over de voorgestelde schikking.
In een gerelateerde ontwikkeling, FTC-personeel waarschuwingsbrieven gestuurd naar 13 bedrijven die ten onrechte beweerden deel te nemen aan de Amerikaans-EU Safe Harbor- en de Amerikaans-Zwitserse Safe Harbor-raamwerken. Hoe kunnen we er zo zeker van zijn dat hun beweringen vals zijn? Omdat Privacy Shield in 2016 de Safe Harbor Frameworks heeft vervangen. De Safe Harbor Agreements zijn niet meer van kracht en de laatste geldige zelfcertificeringen zijn al lang verlopen. In de brieven werd de bedrijven gevraagd elke vermelding van deelname aan Safe Harbor te verwijderen van hun websites, privacybeleid of andere openbare documenten. De bedrijven hebben sindsdien hun Safe Harbor-eisen teruggeschroefd. Als ze niet binnen 30 dagen actie hadden ondernomen, dan is er een reden waarom ze waarschuwingsbrieven worden genoemd.
FTC-personeel ook waarschuwingsbrieven naar twee bedrijven gestuurd die in hun privacybeleid ten onrechte beweren dat zij deelnemen aan het Asia-Pacific Economic Cooperation Cross-Border Privacy Rules-systeem. Het CBPR-systeem van APEC is een initiatief om de bescherming van consumentengegevens die tussen de economieën van APEC-lidstaten worden verzonden, te verbeteren. Om een Certified Participant te worden, moet een aangewezen derde partij – zij worden APEC Recognized Accountability Agents genoemd – beoordelen en certificeren dat het bedrijf voldoet aan de vereisten van het programma.
Net als de andere waarschuwingsbrieven stuurden de brieven een “We’ll bounce back”-bericht en schetsten de opties van de bedrijven: 1) Verwijder onmiddellijk alle claims die CBPR-deelname beweren of impliceren; 2) Een aanvraag indienen om een gecertificeerde deelnemer te worden, maar verwijder alle verwijzingen naar hun betrokkenheid, tenzij en totdat ze gecertificeerd zijn; of 3) niets anders doen dan met het duidelijke inzicht dat de FTC zich het recht voorbehoudt om passende juridische stappen te ondernemen om de integriteit van het APEC CBPR-systeem te beschermen. Deze bedrijven hebben ook hun valse CBPR-claims verwijderd.
De voorgestelde schikkings- en waarschuwingsbrieven bieden drie lessen voor andere bedrijven.
- Voorkom een valse start. Uw bedrijf heeft dus een aanvraag ingediend om vrijwillig deel te nemen aan een initiatief zoals het EU-VS Privacy Shield, het Swiss-US Privacy Shield of het CBPR-systeem van APEC. Leuk voor je, maar kondig je deelname nog niet aan. Totdat uw aanvraag is afgerond en goedgekeurd, is het misleidend om consumenten – door middel van woorden, logo’s of andere middelen – te suggereren dat uw bedrijf deelnemer is.
- Deelname aan het Privacy Shield vereist voortdurende naleving. Deelname aan het Privacy Shield is geen eenmalig vakje dat moet worden afgevinkt. Een belangrijk onderdeel is het jaarlijkse zelfcertificeringsproces, waarbij u een actuele blik werpt op de praktijken van uw bedrijf. Als uw certificering verloopt, worden uw claims van deelname vals. Het is verstandiger om een jaarlijkse herinnering in uw agenda toe te voegen hercertificeren bij het Ministerie van Handel vóór de vervaldatum van de huidige certificering van uw bedrijf.
- Probeer niet aan te meren in Safe Harbor. Controleer uw website en andere documentatie om er zeker van te zijn dat uw bedrijf zijn deelname aan de inmiddels ter ziele gegane Amerikaans-EU- of Amerikaans-Zwitserse Safe Harbor Frameworks niet aanprijst.
