Wellicht is het u niet ontgaan dat er eergisteren door het Hof van Justitie van de EU kort gezegd een kruis is gezet door het Safe Harbor-verdrag. Dit zorgt bij veel Nederlandse bedrijven voor onzekerheid: persoonsgegevens die zij met een beroep op het Safe Harbor-verdrag in de VS hebben opgeslagen, staan daar per direct niet meer veilig – althans, als we de media mogen geloven. Hieronder volgt onze juridische visie op het geheel.
Internationaal gegevensverkeer
De Europese Unie (EU) kent strenge regels voor het verwerken van persoonsgegevens. Bedrijven die persoonsgegevens binnen de EU verwerken moeten aan deze wet- en regelgeving voldoen. Voor veel bedrijven geldt echter dat zij persoonsgegevens niet alleen binnen de EU, maar ook daarbuiten (laten) verwerken. Te denken valt aan de opslag van persoonsgegevens op een server die in de VS staat of een klantenservice die vanuit India wordt geopereerd. In dergelijke gevallen worden persoonsgegevens doorgegeven aan zogenaamde ‘derde landen’ die niet per definitie dezelfde privacywetgeving kennen als hier in de EU. Om bescherming van de persoonsgegevens te waarborgen vereist de Europese privacywetgeving dat doorgifte van persoonsgegevens aan derde landen alleen dan mag worden doorgegeven als dit derde land een ‘passend beschermingsniveau’ biedt.
Safe Harbor verdrag
Tussen de VS en de Europese Unie bestond een verdrag, waarmee de EU en VS gezamenlijk vaststelden dat verwerking van persoonsgegevens in de VS voldeed aan de Europese privacywetgeving: het Safe Harbor-verdrag. De organisaties die zich aansloten bij het Safe Harbor Framework zoals dat door het Amerikaanse Department of Commerce en de Europese Commissie was opgesteld, werden geacht een passend beschermingsniveau te bieden.
Schrems v. Facebook
Max Schrems, een Oostenrijkse privacy-activist, was het niet eens met deze constructie. Gedurende een procedure van Schrems tegen Facebook (Ierland) diende Schrems een klacht in bij de Ierse privacytoezichthouder. Hij stelt dat de Amerikaanse overheid (gelet op de NSA-praktijken) onvoldoende bescherming biedt voor de bescherming van zijn persoonsgegevens, die door Facebook aan Amerika worden doorgegeven en daar worden verwerkt. Het argument dat Schrems daarvoor aanvoert, is dat het er niet toe doet dat de Europese Commissie met de VS heeft afgesproken dat de VS een safe harbor is. Wat er wel toe doet zijn de feiten: waarborgt het juridisch systeem in Amerika (of een ander derde land) feitelijk wel een passend beschermingsniveau voor persoonsgegevens, zoals de Europese wetgeving voorschrijft? Het antwoord daarop is simpelweg: ‘nee’, aldus Schrems.
De Ierse privacy autoriteit wees de klacht van Schrems af. Zij oordeelde dat de VS een passend beschermingsniveau waarborgt voor de doorgifte van persoonsgegevens, indien voldaan is aan Safe Harbor. Schrems stapte vervolgens naar de Ierse High Court of Justice. Die stelde prejudiciële vragen aan het Hof van Justitie van de EU.
Het Hof van Justitie oordeelde op 6 oktober jl. dat het Safe Harbor-verdrag inderdaad ongeldig is. In het Safe Harbor-verdrag is namelijk bepaald dat het nationale recht van de VS voorrang heeft op de beginselen van het verdrag indien dat nodig is voor de nationale veiligheid, het algemeen belang en de rechtshandhaving van de VS. Nu het nationale recht van de VS die passende bescherming niet biedt – denk aan de bevoegdheden van de NSA – is een Europese privacytoezichthouder volgens het Hof van Justitie daarom nog altijd bevoegd om te onderzoeken of er een passend beschermingsniveau wordt geboden, ook al is de organisatie in kwestie aangesloten bij het Safe Harbor-verdrag.
En nu?
Uiteraard geeft het Hof van Justitie geen oplossing voor de praktijk, dus is het aan de praktijk om te filosoferen over de toekomst. Ook voor juristen is dit een flinke kluif. Aangezien het arrest net is gewezen, wordt er momenteel nog volop gespeculeerd. Een aantal aangevoerde oplossingen:
Het is te vroeg om grote conclusies te trekken. Het zal uw organisatie veel geld kosten om nu alle data om te zetten naar een Europese dienstverlener. Als uw concurrent kiest voor de ‘illegale’ (?) maar goedkope oplossing en zijn data in de VS houdt, dan is het commercieel gezien niet aantrekkelijk om een kapitaal te investeren in het transporteren van uw data naar Europa. Daar komt bij dat is te verwachten dat ook de VS zich zullen beraden over de uitspraak; zij zullen niet blij zijn dat zij hun voorkeurspositie hebben verloren. Al twee jaar zijn de EU en de VS bezig met een Safe Harbor 2.0, deze onderhandelingen zullen naar verwachting nu in een stroomversnelling geraken.
Voor een goede risico-afweging, is voor u tevens van belang kennis te hebben van het ‘worst case scenario’. Het College Bescherming Persoonsgegevens (CBP), de autoriteit die toezicht houdt op in Nederland gevestigde bedrijven, kan een overtreding (doen) beëindigen door bestuursdwang uit te oefenen, door dwangsommen op te leggen of door boetes uit te delen. De kans dat het CBP direct zal gaan handhaven is echter klein. Het CBP heeft gecommuniceerd dat deze week naar aanleiding van het arrest van het Hof van Justitie spoedoverleg zal plaatsvinden tussen de Europese privacytoezichthouders. Het verdient dus de aanbeveling om in ieder geval het standpunt van het CBP af te wachten voordat in allerijl maatregelen worden getroffen.
Wel benadrukken we dat het te allen tijde uw verantwoordelijkheid is, alle persoonsgegevens van uw klanten, die nu in de VS op een server staan, staan daar nu officieel niet veilig meer. Strikt juridisch gezien zult u deze gegevens dus nu naar de EU moeten halen.
