Veel bedrijven en organisaties zijn zoekende als het gaat om het beschermen van privacygevoelige gegevens. Onlangs kondigde Microsoft aan dat ze de gegevens van Europeanen gaan opslaan in datacenters in Duitsland, om zijn klanten te beschermen tegen surveillance van de VS. De datacenters zullen onder toezicht staan van telecomprovider Deutsche Telekom. Op deze manier zou de data van Europese Microsoft-klanten zowel technisch als juridisch in Europese landen bewaard worden en zo buiten het bereik van de VS vallen.
Dit is een van de vele voorbeelden die ik kan aanhalen om duidelijk te maken dat veel bedrijven en organisaties zoekende zijn als het gaat om het beschermen van privacygevoelige gegevens. Het overgrote deel hiervan zal overigens niet de middelen hebben om een soortgelijke oplossing als Microsoft realiseren.
Dat bedrijven zoekende zijn, heeft alles te maken met de ruimere bevoegdheden die de Amerikaanse overheidsinstanties en opsporingsautoriteiten zich na de aanslagen van 9/11 hebben toegeëigend en met name met de recente ontwikkelingen in deze. Concreet komt het erop neer dat Amerikaanse autoriteiten onder bepaalde voorwaarden de bevoegdheid hebben om gegevens op te vragen bij een Amerikaanse entiteit die een zekere band heeft met een bedrijf dat zelf niet in de VS is gevestigd. Of de Amerikaanse entiteit inderdaad gedwongen kan worden om gegevens te overhandigen die buiten de VS zijn opgeslagen, wordt in de huidige rechtspraak bepaald aan de hand van drie criteria, namelijk Possession, Custody en Control.
Possession heeft betrekking op de eigendom van gegevens en omvat naast het juridische eigendom en de fysieke toegang, ook de mogelijkheid om materiaal praktisch gezien in handen te krijgen. Het maakt daarbij niet uit of de entiteit de gegevens voor zichzelf houdt of dat voor een ander doet (custody). Bij control gaat het om de mate van controle die er is en de mogelijkheid om bepaalde gegevens te verkrijgen, bijvoorbeeld bij een entiteit buiten de VS.
Nederlandse wet- en regelgeving
Bedrijven die in Nederland opereren, hebben in de eerste plaats uiteraard van doen met de Nederlandse en Europese wet- en regelgeving. Aan de ene kant staat Nederland als ‘vrij streng’ te boek als het gaat om de bescherming van de privacy op grond van de Wet bescherming persoonsgegevens (Wbp). Vanaf 1 januari 2016 kan het CBP, de instantie die verantwoordelijk is voor de handhaving, boetes tot maximaal 810.000 euro of 10 procent van de jaaromzet opleggen. Vanaf deze datum geldt ook een meldplicht voor datalekken.
Aan de andere kant is er een aantal wetsvoorstellen aanhangig dat de bevoegdheden voor opsporingsinstanties om toegang tot gegevens te krijgen aanzienlijk verruimt, zoals het wetsvoorstel computercriminaliteit III en de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv). Nederland heeft hierbij te opereren binnen de kaders die door de Europese Unie worden gesteld.
Europese verordening
Op dit moment is de Europese Privacyrichtlijn nog van toepassing. Verplichtingen die hierin zijn opgenomen, hebben onder meer betrekking op het melden van het gebruik van persoonsgegevens bij de toezichthouder en het informeren van klanten over welke persoonsgegevens voor welke doeleinden worden gebruikt door de organisaties die de gegevens gebruiken. De EU is momenteel echter druk bezig om de sterk verouderde richtlijn te vervangen en de bescherming van persoonsgegevens binnen de Europese Unie te regelen in de zogenaamde Privacy Verordening. Deze verordening moet voorzien in een overkoepelende set van regels waar alle Europese landen zich aan dienen te houden. Het moet de rechten van individuen beter borgen en de nationale Data Privacy Agency’s (DPA’s) zouden hiermee effectiever en beter moeten kunnen samenwerken. Indien het voorstel wordt aangenomen, kunnen bedrijven boetes opgelegd krijgen voor overtredingen, die maar liefst 2 tot 5 procent van hun wereldwijde omzet kunnen bedragen.
Doorgifte naar derde landen
Met name het doorgeven van persoonsgegevens aan derde landen is op het moment een hot issue. De huidige situatie bestaat er uit dat dit is toegestaan als het derde land een ‘passend beschermingsniveau’ biedt. Maar ook als dit niet het geval is, zoals in de VS, zijn er een aantal uitzonderingen om gegevens toch door te geven. Deze uitzonderingssituaties zijn: ondubbelzinnige toestemming van de betrokkene, ‘binding corporate rules’ binnen een organisatie, Safe Harbor voor de VS en het modelcontract van de Europese Commissie.
Het Europese Hof van Justitie heeft echter op 6 oktober 2015, in de zogenoemde Schrems-zaak, de doorgifte van gegevens op basis van de Safe Harbor-beschikking onrechtmatig verklaard. Vooralsnog geldt dat de overige uitzonderingen toegestaan blijven, maar waar het de doorgifte van gegevens naar de VS betreft geldt ook hierbij dat deze oplossingen niet voldoende waarborgen bieden vanwege de verstrekkende Amerikaanse wetgeving.
Op dit moment onderhandelen de Europese Commissie en de VS over een Safe Harbor 2.0. De nieuwe Safe Harbor moet voor het eind van januari 2016 zijn opgesteld. De Europese toezichthouders hebben aangekondigd vanaf februari 2016 op te zullen treden tegen bedrijven die gegevens doorgeven aan de VS op grond van de oude Safe Harbor beschikking.
Het is ingewikkelde materie en de reikwijdte is niet altijd even gemakkelijk te overzien. In het licht van de actuele ontwikkelingen in de nationale en internationale dataprivacywetgeving is het echter raadzaam om een zo goed mogelijke scheiding aan te brengen tussen enerzijds de bedrijfsvoering in Nederland dan wel Europa en anderzijds de bedrijfsvoering in Amerika. Dit betekent een scheiding in zeggenschap of command structure, een scheiding in mensen én een scheiding in it. Op welke manier dat het beste ingevuld kan worden verschilt per case, omdat het bovenal maatwerk is.