Data op server in de Verenigde Staten: mag dat?

De wetgeving op het gebied van privacy en datasecurity verandert, en de techniek nog sneller. Met de toenemende populariteit van de cloud als opslaglocatie, is ook meer duidelijkheid gewenst over de juridische (on)mogelijkheden daarvan. Wanneer uw organisatie gebruik wenst te maken van een server in de Verenigde Staten, loopt u tegen een flinke muur van regelgeving aan. Raakt u ook het juridische spoor bijster? Graag zet ik de hoofdpunten voor u op een rij.

Doorgifte buiten de EU vereist een ‘passend beschermingsniveau’

Sinds de inwerkingtreding van de Europese privacyrichtlijn 1998 is het verboden om persoonsgegevens van Nederlandse burgers uit te voeren naar een land buiten de Europese Unie, tenzij dat land een ‘passend beschermingsniveau’ biedt. Met ‘passend’ wordt bedoeld dat het niveau van beveiliging van dat land ten minste gelijkwaardig moet zijn aan het beveiligingsniveau dat in de Europese wetgeving wordt voorgeschreven.

Er werd een lijst opgesteld met landen die volgens de Europese Commissie wél een voldoende passend beschermingsniveau boden. De Verenigde Staten bieden geen passend beveiligingsniveau en stonden dus niet op de lijst. Omdat handel met de Verenigde Staten van groot economisch belang is, werd in 2000 tussen de EU en de Verenigde Staten een verdrag gesloten: het Safe-Harbor verdrag.

Dit Safe-Harbor verdrag werd op 6 oktober 2015 ongeldig verklaard door het Europese Hof van Justitie. Vanaf dat moment ontstond er lichte paniek bij Europese ondernemingen: wat moet er gebeuren met de persoonsgegevens die staan op een server in de Verenigde Staten? Loopt iedere organisatie die toch gebruik maakt van de servers in de Verenigde Staten nu het risico op een boete?

Sinds die tijd zijn de Europese Commissie en de Verenigde Staten intensief in overleg en onderhandeling geweest over een oplossing – immers het economisch belang van goed handelsverkeer is groot. Op 1 augustus 2016 werd het resultaat daarvan van kracht: het EU-US Privacy Shield.

EU-US Privacy Shield: een certificaat en strenge controle

De Europese Commissie en de Verenigde Staten bereikten overeenstemming over een nieuwe overeenkomst, dit werd het EU-VS Privacy Shield. De opzet van het EU-VS Privacy Shield is als volgt.

Amerikaanse organisaties die persoonsgegevens van Europese burgers willen verwerken, bijvoorbeeld Amerikaanse clouddienstverleners en hostingpartijen, zullen zich moeten aanmelden voor het Privacy Shield programma. Als deze organisaties aantonen dat zij een ‘passend beveiligingsniveau’ garanderen, ontvangen zij een certificaat. Organisaties die een certificaat hebben, gelden als ‘veilig’. Met andere woorden: de persoonsgegevens van Europese burgers mogen zonder belemmering naar deze organisaties worden doorgegeven.

Dit principe van een lijst heeft wat weg van de oude Safe-Harbor lijst. Toch werkt het Privacy Shield anders. Een aantal kenmerken zijn de volgende:

1. Betrokkenen (Europese burgers) krijgen meer rechten en meer mogelijkheden om te klagen. Het nieuwe Privacy Shield Panel kan het certificaat van een organisatie intrekken als daar aanleiding voor bestaat.
2. Amerikaanse organisaties moeten binnen 45 dagen reageren op een klacht van een Europese burger.
3. De Amerikaanse overheid mag niet zomaar inzage krijgen in de persoonsgegevens van de Europese burgers die op de servers in Amerika staan opgeslagen, daar zijn strenge beperkingen voor opgesteld. Er komt een Amerikaanse ombudsman die klachten over de controle van de overheid onafhankelijk behandeld.

Wat als de Amerikaanse organisatie geen Privacy-Shield-certificaat heeft?

Als de organisatie waar u de persoonsgegevens naar toe stuurt, geen Privacy-Shield-certificaat heeft, dan mag u niet zomaar persoonsgegevens naar deze organisatie doorvoeren. Dit is alleen mogelijk in de volgende situaties:

• U heeft met deze organisatie een Europees Modelcontract gesloten. Op deze contracten mag geen aanpassing worden gedaan, u moet dus de tekst integraal overeenkomen, of;
• uw Nederlandse bedrijf is onderdeel van een internationaal concern, waarbinnen Binding Corporate Rules zijn opgesteld en goedgekeurd door de Autoriteit Persoonsgegevens, of;
• de betrokkene (de Nederlandse burgers) hebben ondubbelzinnige toestemming voor de doorgifte van hun persoonsgegevens naar de Verenigde Staten gegeven. Voor het verkrijgen van ‘ondubbelzinnige toestemming’ ligt de lat hoog, het hebben van ‘geen bezwaar’ is niet voldoende. Het moet gaan om een “vrije, specifieke en op informatie berustende wilsuiting”. Dat betekent dat betrokkene op de hoogte moet zijn van het niveau van gegevensbescherming in het land waarnaar de gegevens zullen worden overgedragen, en met die kennis ondubbelzinnig toestemming verleent. Voor het verkrijgen van die toestemming, zult u dus alle personen wiens gegevens op een server in de Verenigde Staten worden opgeslagen, moeten inlichten over de risico’s die daarmee gepaard gaan. Wanneer de personen geen toestemming verlenen, mogen die gegevens niet naar de Verenigde Staten. U begrijpt dat dit voor organisaties die grote hoeveelheden persoonsgegevens verwerken geen werkbare oplossing is.

Kortom, waar moet u op letten bij het gebruik maken van servers in de Verenigde Staten?

Indien uw organisatie persoonsgegevens wil opslaan op servers die zich in de Verenigde Staten bevinden, is het van belang eerst te controleren of deze (cloud- of hosting)dienstverlener een Privacy Shield-certificaat heeft behaald. Heeft deze organisatie dat niet, dan kunt u ervoor kiezen om een modelcontract met deze  leverancier te sluiten. In veel gevallen is de beste oplossing om een andere leverancier (mét certificaat) te zoeken.

Heeft u meer vragen over de mogelijkheden en onmogelijkheden van uw data in de cloud en op Amerikaanse servers, neem dan contact op met onze praktijkgroep IT, Internet en privacy.