Het Europese Hof heeft op 6 oktober 2015 geoordeeld dat de Safe Harbor-beschikking, die een veilige datadoorgifte van persoonsgegevens tussen de Europese Unie en de Verenigde Staten zou moeten waarborgen, ongeldig is. Doorgifte van persoonsgegevens naar de VS levert na vandaag een schending op van de Europese en Nederlandse privacywetgeving, tenzij bedrijven de juiste maatregelen hebben genomen om deze data op een andere veilige wijze door te geven.
Deze uitspraak heeft ingrijpende gevolgen voor het dataverkeer tussen de EU en de VS, en vooral voor in Europa gevestigde bedrijven met klanten of een moedermaatschappij in de VS. In het bijzonder raakt deze uitspraak direct aan de bedrijfsvoering van ondernemingen die zich bezig houden met cloud computing en datadoorgifte.
De Safe Harbor-beschikking
De huidige Europese Privacyrichtlijn bepaalt dat de doorgifte van persoonsgegevens naar een land buiten de EU slechts is toegestaan, indien dat land een passend beschermingsniveau waarborgt. Naar maatstaven van Europa, voldoet de VS hier niet aan. Om datadoorgifte van de EU naar de VS toch mogelijk te maken, is de Safe Harbor-beschikking opgemaakt. Amerikaanse ondernemingen kunnen een Safe Harbor-status verkrijgen, en daarmee voldoen aan de beginselen voor een rechtmatige verwerking van persoonsgegevens. Op deze manier zouden zij een passend beschermingsniveau waarborgen, wat doorgifte van persoonsgegevens van de EU naar de VS mogelijk maakt. Het Europese Hof heeft de Safe Harbor-beschikking thans echter ongeldig verklaard.
Klacht van Maximillian Schrems
De uitspraak van het Europese Hof is het uiteindelijke gevolg van een klacht die de Oostenrijkse – en inmiddels beroemde – student Maximillian Schrems op 25 juni 2013 heeft ingediend bij de Ierse ‘Data Protection Officer’. Deze klacht was gericht tegen Facebook Ierland, dochter van de Amerikaanse moedermaatschappij Facebook Inc., in verband met de doorgifte van diens persoonsgegevens van de EU naar de VS.
Door de onthullingen van Snowden in 2013 over de Amerikaanse inlichtingendiensten, in het bijzonder de NSA, is volgens Schrems aan het licht gekomen dat persoonsgegevens op het grondgebied van de VS niet zijn beschermd tegen staatstoezicht, ook niet als de gegevens verzameld zijn door ondernemingen die een Safe Harbor-status hebben.
Advocaat-Generaal van het Europese Hof van Justitie, Yves Bot, gaf in zijn conclusie op 23 september 2015 zijn oordeel over de zaak. Volgens hem dienen nationale toezichthouders, zoals in Nederland het College bescherming persoonsgegevens (Cbp), zelfstandig onderzoek te kunnen instellen wanneer bij hen een klacht is ingediend over het beschermingsniveau van een land buiten de EU. Deze hebben daarbij de bevoegdheid om de doorgifte van gegevens op te schorten. Voorts is hij van mening dat het Europese Hof de geldigheid van de Safe Habor-beschikking zelf moet toetsen en adviseert hij deze beschikking ongeldig te verklaren omdat daarmee geen ‘passend beschermingsniveau’ van persoonsgegevens wordt gewaarborgd vanwege de schendingen van grondrechten van de Unieburgers.
Wat te doen?
Ondernemingen die te maken hebben met de doorgifte van persoonsgegevens naar de VS, en dat tot heden deden op basis van de Safe Harbor-beschikking, zullen na deze uitspraak een oplossing moeten vinden om op rechtmatige wijze data door te geven naar de VS. De VS blijkt immers geen veilige haven te zijn. Er zijn echter ook andere mogelijkheden om persoonsgegevens op rechtmatige wijze door te geven naar de VS.
1. Modelcontract:
Wanneer een land buiten de EU niet voldoet aan de Europese maatstaven voor datadoorgifte, kunnen persoonsgegevens desalniettemin worden doorgegeven op basis van een door de Europese Commissie goedgekeurd modelcontract. Dit modelcontract kan worden toegevoegd als bijlage aan door ondernemers gehanteerde (ict-)contracten. Verdere goedkeuring van de toezichthouder is dan niet vereist.
2. Binding Corporate Rules:
Een onderneming kan datadoorgifte tussen verschillende ondernemingen binnen een groep (intra-group transfers) rechtmatig laten plaatsvinden door interne gedragscodes (Binding Corporate Rules) op te laten stellen. Deze Binding Corporate Rules bevatten waarborgen voor bescherming van persoonsgegevens bij doorgifte naar landen zonder passend beschermingsniveau. Binding Corporate Rules moeten wel voorafgaand aan de doorgifte worden goedgekeurd door de nationale toezichthouder (in Nederland het Cbp).
3. Ondubbelzinnige toestemming:
De derde mogelijkheid betreft de situatie waarin de betrokkene zijn ondubbelzinnige toestemming heeft gegeven voor de doorgifte van zijn persoonsgegevens naar een land dat geen passend beschermingsniveau biedt. Let wel, toestemming kan op ieder moment worden ingetrokken door de betrokkene en wordt vooral bij grootschalige doorgifte afgeraden door het Cbp.
Grote gevolgen
De uitspraak zal grote gevolgen hebben voor ondernemingen die op basis van de Safe Harbor-beschikking data doorgeven naar de VS. Deze doorgifte is vanaf heden immers in strijd met de privacywetgeving. Bovenstaande alternatieven kunnen soelaas bieden voor de ondernemers.
Europese hosting providers zullen mogelijk zien dat er meer data binnen Europa blijft en dat zij daarom servercapaciteit moeten bijschakelen. Een voordeel voor de Amerikanen, zij zullen de komende tijd wellicht minder last hebben van rokende servers.
Deze bijdrage is tot stand gekomen in samenwerking met Dominique Geerts.
Met andere woorden: regel zaakjes netjes en laat zien hoe je om gaat met data veiligheid.
Maar even ter verificatie: Het gaat dus alleen maar om data met betrekking tot persoonsgegevens? Alle andere data valt hier toch volledig buiten?
Beste Henry,
Het gaat inderdaad enkel om de doorgifte van persoonsgegevens. Let wel, het ziet toe op zowel directe persoonsgegevens (bijvoorbeeld een naam) maar ook op indirecte persoonsgegevens (zoals een IP-adres, mobiele telefoonnummers of andere data die herleidbaar is tot een persoon). Dus bedrijven dienen goed te inventariseren welke data wordt gebruikt, in hoeverre deze herleidbaar is tot personen en waar deze data vandaan komt en naar toe gaat.
Groet,
Jan
Wat hier geschreven wordt gaat redelijk richting de Privacy Impact Analysis (PIA) waar alle oude EDP-auditors (NOREA) ook al enig tijd op wijzen, moderne IT lijkt dus weer ingehaald te worden door oude normen. Hierbij lijkt de servercapaciteit me trouwens niet zo zeer het probleem, opslagcapaciteit zal veel nijpender worden nu het besef komt dat dit iets meer kost dan capaciteit. Let wel dat ook tape een informatiedrager is welke privacy gevoelige informatie kan bevatten, veel bedrijven archiveren hier nog naar.
Henri
Persoonsgegevens omvatten volgens CBP wat meer dan je denkt, een rekeningnummer op een bonnetje valt hier ook onder. En derdenverstrekking is al langer alleen toegestaan als niet de WIE maar de WAT expliciet uitgelegd wordt. Weet niet wat de impact van deze uitspraak is op Salesforce maar denk dat veel bedrijven nog eens kritisch naar hun CRM oplossing moeten kijken:
https://www.salesforce.com/company/privacy/data-processing-addendum-faq.jsp
*pompie-dompie-dom*
Wat dachten jullie van e-mail? e-mailadressen vallen ziezo onder persoonsgegevens en volgens mij valt e-mailverkeer ook onder de WBP.
Wat mij betreft wordt in dit artikel ook veel onzin verteld.
De Safe Harbor beschikking is ongeldig verklaard omdat Amerika zich niet houdt aan Europese wetgeving en Amerikaanse bedrijven automatisch onder de regels van Amerika vallen is er dus officieel geen manier om persoonsgegevens of data die valt onder de WBP legaal naar de VS door te geven.
Amerika vindt dat alle Amerikaanse bedrijven vallen onder de Amerikaanse wetgeving. Om die reden vallen die bedrijven ook onder veel gehate Patriot Act en moeten zij te allen tijde alle data inzichtelijk maken wanneer hierom gevraagd wordt in het kader van nationale veiligheid. Helaas blijkt dit grootschalig te gebeuren. Dit is in strijd met de Nederlandse en Europese wetgeving.
Hoewel de soep vast niet zo heet wordt gegeten als die wordt geserveerd is er naar mijn mening geen ‘legale’ manier.
@Ibbaman. Enkel de Safe Harbor-beschikking is door het Europese Hof ongeldig verklaard, de overige alternatieven niet. Alhoewel deze alternatieven mogelijk ook geen passend beschermingsniveau waarborgen omdat de persoonsgegevens nog kunnen worden opgevraagd door de Amerikaanse autoriteiten, zijn deze alternatieven (nog) niet ongeldig verklaard. Recht kan dus ook krom zijn. Het wachten is op nadere richtlijnen van de Europese Commissie die binnenkort zullen worden verstrekt aan de nationale toezichthouders in verband met de datadoorgifte van de EU naar de VS.