Begin oktober heeft het Europese Hof van Justitie bepaald dat de Safe Harbor-overeenkomst niet meer voldoende is voor het doorgeven van data tussen Europese landen en landen daarbuiten. Expert op het gebied van privacywetgeving Jeroen Renard voorziet veel problemen voor ict-bedrijven wanneer zij niet tijdig maatregelen treffen en wil hen daarvoor waarschuwen.
Het Safe Harbor-verdrag werd in 2000 door de Europese Commissie met de VS gesloten. Het verdrag stond Europese organisaties toe persoonsgegevens uit te wisselen met Amerikaanse bedrijven, die zich aan de principes hielden die in het Safe Harbor-verdrag werden benoemd. Mede door de USA Patriot Act, die in 2001 van kracht werd en waardoor NSA en FBI zonder juridische procedures bij Amerikaanse bedrijven informatie kunnen opeisen, was het verdrag echter nogal discutabel.
Op 6 oktober 2015 bepaalde het Europese Hof dat het verdrag niet langer voldoende was om veilige doorgave van data te verzekeren. Er moeten daarom andere maatregelen worden getroffen door organisaties om data te mogen versturen naar landen buiten Europa, zegt Jeroen Renard. Renard is in zijn rol als cso bij de Odin Groep verantwoordelijk voor de implementatie van de benodigde maatregelen uit hoofde van privacywetgeving binnen de inrichting van cloud-omgevingen en dienstverlening voor de duizenden organisaties die als opdrachtgever verbonden zijn aan het bedrijf.
Onderzoek door toezichthouders
Een tweede aspect van voornoemde uitspraak is volgens Renard dat nationale toezichthouders individueel onderzoek mogen doen naar gegevensoverdracht. ‘Nationale regelgeving op het gebied van privacy moet door organisaties worden gevolgd en bewerkers als cloud service providers moeten daarin worden meegenomen.’ Het belang voor een organisatie om daadwerkelijk ‘in control’ te zijn over de eigen persoonsgegevens en informatiestromen wordt benadrukt.
De mogelijkheid voor nationale toezichthouders om individueel onderzoek te doen is op zich niet in strijd met de prioriteit die de Europese Commissie heeft uitgesproken voor een Digital Single Market, weet hij. ‘Het belang van een bedrijf omvattend control framework en daadwerkelijk partnership met bewerkers van bedrijfseigen persoonsgegevens als cloud service providers wordt echter wel extra benadrukt.’
Renard zegt dat de uitspraak van het Europese Hof vrijwel onmiddellijk tot een verbod werd omgezet in de Duitse deelstaat Sleeswijk-Holstein. Zo snel zal het volgens hem in Nederland niet gaan, maar Nederlandse organisaties moeten wel direct aan de slag met het treffen van maatregelen, waarschuwt hij. ‘Want’, zo zegt hij, ‘niet alleen vragen andere methodes om de uitwisseling van persoonsgegevens met landen buiten de EU mogelijk te maken nogal wat werk, ook komt de Wet Meldplicht Datalekken er aan.’
Drie methodes
Hij legt uit dat er in totaal vier manieren waren om als organisatie data te mogen delen met landen die vallen buiten de Europese wetgeving. Ten eerste was dat de mogelijkheid om aan te sluiten bij het Safe Harbor-verdrag, die nu dus wegvalt. Maar daarmee blijven er nog drie methodes over.
‘Zo kan een organisatie voldoen aan de regels wanneer het aan iedereen van wie het gegevens overdraagt buiten de EU, individuele toestemming vraagt. Maar in dit geval heb je te maken met zoveel data per persoon en moet je naast met data van klanten ook met data van leveranciers en medewerkers rekening houden. Dat is eigenlijk al niet te doen. En wat als iemand geen toestemming geeft?’
Een tweede manier is het toepassen van modelcontracten. ‘Hoewel de vergunningplicht hiervoor is afgeschaft, blijft het een nadeel dat je hierbij te maken krijgt met een web van contracten bij sub-bewerkers.
Tot slot kunnen binnen internationale organisaties Binding Corporate Rules worden opgesteld. ‘Deze maken doorgifte binnen deze organisaties wereldwijd mogelijk, maar het opstellen ervan is een tijdrovende klus. Er is nog geen standaard model beschikbaar en voor zover bekend heeft het College Bescherming Persoonsgegevens (CBP) nog geen set goedgekeurd. Wel zijn er aanvragen bij het CBP in behandeling.’
Haast geboden
Renard benadrukt dat, hoewel dit nog niet van vandaag op morgen verplicht zal zijn, er wel haast bij geboden is. ‘Op 1 januari 2016 treedt de Wet Meldplicht Datalekken in werking. Op grond van die wet moet een ‘ernstig’ datalek gemeld worden bij de Autoriteit Persoonsgegevens (huidige CBP) en moeten alle datalekken binnen een organisatie worden geregistreerd. Het niet voldoen aan de vereisten van de Wet Bescherming Persoonsgegevens valt onder de definitie van datalekken en daarvan is dan ook sprake als er, ondanks de uitspraak van het Europese Hof van Justitie, onder de Safe Harbor regeling persoonsgegevens naar de Verenigde Staten worden doorgegeven. Dit kan leiden tot het opleggen van forse boetes door de autoriteit.’
Renard vraagt zich af of organisaties zich er wel van bewust zijn dat ze nu aan het werk moeten gaan met de vraagstukken die door de EU op het gebied van privacybescherming worden aangedragen. ‘Er is vrij snel sprake van een datalek. Dat moet vanaf 1 januari 2016 allemaal geregistreerd kunnen worden en – in bepaalde gevallen -gemeld worden bij de autoriteit en eventueel ook de betrokken individuen.’
Inmiddels hebben Europa en de Verenigde Staten een principe-akkoord bereikt over het opslaan van Europese gebruikersdata in de VS. Dit verdrag vervangt Safe Harbor, dat begin oktober door het Europese Hof ongeldig werd verklaard.
Jeroen Renard
Jeroen Renard is in zijn rol als cso verantwoordelijk voor het opzetten en uitvoeren van het informatiebeveiligingsbeleid voor de vier bedrijven binnen de Odin Groep: Lesscher IT, Heutink ICT, Previder en Web2work.
