Op 6 oktober 2015 heeft het Hof van Justitie EU een baanbrekend arrest gewezen. Het Hof heeft het ‘Safe Harbor’-verdrag op basis waarvan Europese ondernemingen persoonsgegevens met de VS mochten delen, ongeldig verklaard. Deze uitspraak heeft ingrijpende gevolgen voor Europese ondernemingen die de doorgifte van persoonsgegevens aan de VS op het Safe Harbor-verdrag baseren.
Prijs vergelijk ADSL, kabel, glasvezel aanbieders en bespaar geld door over te stappen!
Strenge regels doorgifte van persoonsgegevens buiten Europa
Voor de doorgifte van persoonsgegevens naar landen buiten de EU (nog preciezer de EER) gelden op grond van Europees privacyrecht strenge regels. De hoofdregel is dat doorgifte slechts mogelijk is als het niet-Europese land een passend – dat wil zeggen hoogwaardig – beschermingsniveau biedt.
De fictie van de VS als veilige haven
Voor doorgifte van persoonsgegevens aan de VS heeft de Europese Commissie in 2000 een speciale regeling getroffen in de vorm van de ‘Safe Harbor’-verdrag. Op basis van dit Verdrag worden Amerikaanse organisaties geacht een passend beschermingsniveau te hebben indien zij zich (door afgifte van een verklaring aan het US Department of Commerce) hebben gecommitteerd aan de zogenaamde Safe Harbor-principles. Deze Safe Harbor-regeling is veel bekritiseerd omdat niet of nauwelijks gecontroleerd wordt of deze organisaties zich ook daadwerkelijk aan de regels houden. Ook de Artikel 29 Werkgroep (=werkgroep van alle Europese toezichthouders) waarschuwde eerder over de beperkte betekenis van het Safe Harbor-certificaat.
Het arrest: Safe Harbor-beschikking ongeldig
Het Hof van Justitie EU heeft in haar arrest de Safe Harbor – beschikking van de Europese Commissie ongeldig verklaard. Dit omdat de beschikking volgens het Hof geen blijk geeft van een beoordeling van de vraag of de VS daadwerkelijk privacy waarborgen bieden die gelijkwaardig zijn met de Europese normen. Het Europese Hof oordeelde daarnaast dat privacy toezichthouders zelfstandig moeten onderzoeken of de doorgifte van persoonsgegevens voldoen aan de strenge eisen van de Europese privacywetgeving.
De impact van Edward Snowden
De onderliggende zaak gaat over de Oostenrijkse student Max Schrems die de Ierse privacy toezichthouder verzocht om een onderzoek in te stellen naar de bescherming van zijn persoonsgegevens op Facebook. Via de Ierse dochteronderneming van Facebook werden zijn persoonsgegevens opgeslagen op servers in de VS. Aanleiding voor het verzoek waren de onthullingen van klokkenluider Edward Snowden over de activiteiten van de inlichtingendienst van de VS NSA (National Security Agency) uit 2013. De Ierse autoriteit weigerde een onderzoek in te stellen. Zij volstond met de verwijzing naar de Safe Harbor beschikking waarin de Commissie tot het oordeel was gekomen dat de VS waarborgen voor een passend beschermingsniveau van de doorgegeven gegevens boden.
Betekenis voor de praktijk
De ongeldigverklaring van de Safe Harbor-beschikking treedt onmiddellijk in werking. Dit betekent alle doorgiftes van persoonsgegevens op basis van de Safe Harbor- beschikking onrechtmatig zijn. Dat geldt dus ook voor ondernemingen die hun persoonsgegevens opslaan bij een cloudleverancier in de VS en vertrouwen op het Safe Harbor -verdrag.
De oplossing: alternatieve grondslag
Om deze onrechtmatigheid op te heffen moeten organisaties hun gegevensverkeer naar de VS staken of een alternatieve grondslag vinden. Dat laatste zal vanuit praktisch oogpunt de voorkeur hebben. De Wet bescherming persoonsgegevens geeft een lijst met alternatieven. Een zeer bruikbaar alternatief is het sluiten van een door de Commissie goedgekeurd modelcontract met een in de VS gevestigd bedrijf (in zijn hoedanigheid van bewerker of verantwoordelijke).
Niet het einde van het internet
Vanuit het oogpunt van privacybescherming resulteert het gebruik van modelcontracten zonder concrete controle op naleving ons inziens nog steeds niet in het gewenste strenge beschermingsniveau. Immers, in de praktijk zal de zelfcertificering aan de Safe Harbor principles op grote schaal worden ingewisseld voor een andere papieren fictie in de vorm van modelovereenkomsten. Het arrest betekent dus niet het einde van het internet, zoals wij zojuist de nieuwslezer hoorde zeggen. Het betekent slechts dat voor de VS niet langer een uitzonderingspositie geldt en dat alle doorgiftes van persoonsgegevens, net zoals doorgiftes aan andere niet-EU landen, moeten voldoen aan strenge voorwaarden.
Toekomstmuziek
Momenteel zijn de Europese Unie en de VS in onderhandeling over een nieuw soort Safe Harbor-verdrag. Eurocommissaris Timmermans bevestigde gisteren op de persconferentie over het arrest dat gewerkt wordt aan een vernieuwde en veilig systeem voor de doorgifte van persoonsgegevens naar de VS. De uitkomst van de onderhandelingen is in dit stadium echter nog onzeker.
mr. Eliëtte Vaal en Noedeng Yeh, AKD