Phileas Fogg stond bekend om zijn reis rond de wereld in 80 dagen, maar als het om de wereldhandel gaat, kunnen consumenten met slechts één klik hetzelfde bereiken. Recent FTC-acties raken aan de internationale implicaties van consumentenbescherming.
SecurTest is een in Florida gevestigd bedrijf voor achtergrondonderzoek dat zegt deel te nemen aan de EU-VS en Zwitsers-VS Privacy Shield-programma’s. Privacyschild stelt een proces vast waarmee bedrijven consumentengegevens van landen van de Europese Unie en Zwitserland naar de Verenigde Staten kunnen overdragen in overeenstemming met de EU- en Zwitserse wetgeving. Om deel te nemen moeten bedrijven een zelfcertificeringsproces bij het ministerie van Handel Dan hercertificeren jaarlijks. Deelname aan het Privacy Shield is vrijwillig, maar de FTC kan ingrijpen als bedrijven misleidende uitspraken doen over hun status.
Volgens de klachtSecurTest startte zijn Privacy Shield-aanvraag in september 2017. Kort daarna voegde het bedrijf onderaan de webpagina een tekst toe om aan te geven dat de aanvraag in behandeling was. Er gingen echter maanden voorbij en SecurTest voltooide het verzoek niet. Maar tot juli 2018 – toen de FTC de kwestie ter sprake bracht – verklaarde het bedrijf in zijn privacybeleid dat het “voldeed aan het EU-VS Privacy Shield Framework en het Zwitsers-Amerikaanse Privacy Shield Framework” en dat het “aan het Ministerie van Handel verklaarde dat het zich houdt aan de Privacy Shield Principles.”
In de klacht wordt beweerd dat de beweringen van SecurTest met betrekking tot deelname aan het Framework vals waren. Om de zaak op te lossen, heeft het bedrijf overeengekomen geef geen verkeerde voorstelling van uw deelname aan een privacy- of beveiligingsprogramma dat wordt gesponsord door een overheidsinstantie, zelfregulerende groep of standaardbepalende organisatie. De FTC accepteert publieke opmerkingen over de voorgestelde schikking.
In een gerelateerde ontwikkeling, FTC-personeel waarschuwingsbrieven gestuurd naar 13 bedrijven die ten onrechte beweerden deel te nemen aan de Amerikaans-EU Safe Harbor en de Amerikaans-Zwitserse Safe Harbor. Hoe kunnen we er zo zeker van zijn dat hun beweringen vals zijn? Omdat het Privacy Shield in 2016 de Safe Harbor Frameworks heeft vervangen. De Safe Harbor-afspraken zijn niet meer van kracht en de laatste geldige zelfcertificeringen zijn al lang verlopen. In de brieven werd de bedrijven gevraagd elke vermelding van deelname aan Safe Harbor van hun sites, privacybeleid of andere openbare documenten te verwijderen. De bedrijven hebben inmiddels hun Safe Harbor-verzoeken ingetrokken. Als ze niet binnen 30 dagen actie hadden ondernomen, dan is er een reden waarom ze waarschuwingsbrieven worden genoemd.
Zelfs FTC-personeel waarschuwingsbrieven naar twee bedrijven gestuurd die in hun privacybeleid ten onrechte hebben beweerd deel te nemen aan het Asia-Pacific Economic Cooperation Cross-Border Privacy Policy System. Het APEC CBPR-systeem is een initiatief om de bescherming van consumentengegevens die tussen de economieën van APEC-lidstaten worden verzonden, te verbeteren. Om een gecertificeerde deelnemer te worden, moet een aangewezen derde partij, een zogenaamde APEC-erkende Accountability Agent, beoordelen en certificeren dat het bedrijf voldoet aan de programmavereisten.
Net als de andere waarschuwingsbrieven stuurden de brieven de boodschap “We komen terug” en schetsten de opties van de bedrijven: 1) verwijder onmiddellijk alle claims die deelname aan CBPR beweren of impliceren; 2) Een aanvraag indienen om een gecertificeerde deelnemer te worden, maar verwijder alle verwijzingen naar hun betrokkenheid, tenzij en totdat ze gecertificeerd zijn; of 3) Niets doen, maar met het duidelijke inzicht dat de FTC zich het recht voorbehoudt om passende juridische stappen te ondernemen om de integriteit van het APEC CBPR-systeem te beschermen. Deze bedrijven hebben ook hun valse beweringen over CBPR ingetrokken.
De voorgestelde schikkings- en waarschuwingsbrieven bieden drie suggesties voor andere bedrijven.
- Voorkom een valse start. Uw bedrijf heeft zich vervolgens aangemeld om vrijwillig deel te nemen aan een initiatief zoals het EU-VS Privacy Shield, het Swiss-US Privacy Shield of het APEC CBPR-systeem. Leuk voor u, maar maak nog geen reclame voor uw deelname. Totdat uw aanvraag is afgerond en goedgekeurd, is het misleidend om aan consumenten te suggereren – door middel van woorden, logo’s of op enige andere manier – dat uw bedrijf deelneemt.
- Deelname aan het Privacy Shield vereist voortdurende naleving. Deelname aan het Privacy Shield is niet iets dat voor iedereen geschikt is. Een belangrijk onderdeel is het jaarlijkse zelfcertificeringsproces, waarbij u de praktijken van uw bedrijf onder de loep moet nemen. Als u uw certificering laat vervallen, zijn uw beweringen onwaar. Het verstandigste is om een jaarlijkse herinnering aan uw agenda toe te voegen hercertificeren bij het Ministerie van Handel vóór de vervaldatum van de huidige certificering van uw bedrijf.
- Probeer niet aan te meren in Safe Harbor. Controleer uw website en andere documentatie om er zeker van te zijn dat uw bedrijf geen reclame maakt voor zijn deelname aan het inmiddels ter ziele gegane Amerikaans-EU- of Amerikaans-Zwitserse Safe Harbor-regime.
