Einde aan Safe Harbor: enkele prangende vragen beantwoord

In de Europese privacyrichtlijn is vastgelegd dat persoonsgegevens van Europese burgers in beginsel alleen binnen de Europees Economie Ruimte (EER) mogen worden uitgewisseld. De EER wordt gevormd door alle EU-landen, plus Noorwegen, Liechtenstein en IJsland. Gegevens mogen dus in beginsel niet naar landen buiten de EER verzonden worden.

Zoals op iedere regel, bestaat ook op deze regel een uitzondering. De Nederlandse Wet bescherming persoonsgegevens (Wbp) bepaalt in art 76 lid 1: “Persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om na hun doorgifte te worden verwerkt, worden slechts naar een land buiten de Europese Unie doorgegeven indien, onverminderd de naleving van de wet, dat land een passend beschermingsniveau waarborgt.”

Uit de Wbp volgt dat alleen wanneer landen buiten de EER (zogenaamde “derde landen”) een “passend beschermingsniveau” waarborgen, persoonsgegevens doorgegeven mogen worden naar deze derde landen. De Europese Commissie heeft een lijst opgesteld van ‘veilige landen’, zie hier voor de lijst. Als een land niet op de lijst staat, mogen gegevens in principe niet naar een bedrijf in dat land doorgegeven worden. Ook op deze regel bestaan enkele uitzonderingen, waar zo nader op ingegaan zal worden.

De Verenigde Staten van Amerika (VS) staat niet op de door de Europese Commissie opgestelde lijst met goedgekeurde landen. Persoonsgegevens mochten tot de uitspraak van het Hof desondanks toch in bepaalde gevallen worden verzonden naar de VS, namelijk als de in Amerika gevestigde ontvanger van deze persoonsgegevens een zogenaamde ‘Safe Harbor’ was. Feitelijk betekende dit dat een bedrijf door middel van ‘zelfcertificering’ verklaarde zich vrijwillig aan de Europese privacywetgeving te houden. Zodra deze verklaring was geregistreerd, gold de aanvrager als ‘Safe Harbor’ en mochten Europese persoonsgegevens worden doorgegeven aan het bedrijf van de aanvrager.

Vanaf het eerste moment is inderdaad veel kritiek geleverd op deze constructie. Voor een eenmalige fee van $ 200 en een jaarlijkse fee van $ 100 verklaart een bedrijf zich aan de Europese regels te houden, waardoor een bedrijf opeens persoonsgegevens van Europese bedrijven en instanties mag ontvangen en verwerken. Het lijkt een beetje op de slager die zijn eigen vlees keurt, was een veelgehoord kritiekpunt.

De Amerikaanse wetgeving in reactie op 9/11 zette de discussie nog verder op scherp. Deze wetgeving staat Amerikaanse overheidsdiensten immers toe om – soms zelfs zonder dat sprake is van een redelijke verdenking –computersystemen van Amerikaanse bedrijven binnen te dringen en persoonsgegevens in te zien. Op deze blog schreven we reeds eerder enkele artikelen over de juridische haken en ogen aan deze gang van zaken.

Nadat Edward Snowden naar buiten bracht dat de Amerikaanse inlichtingendiensten zich op grote schaal toegang verschaffen tot allerlei data van privépersonen, bedrijven, instanties en overheden, heeft de Oostenrijkse student Max Schrems de Ierse privacytoezichthouder gevraagd te beoordelen of Facebook zijn gegevens mag opslaan op servers in de VS. Scherms moest zich tot de Ierse toezichthouder wenden, omdat het Europese hoofdkantoor van Facebook (om vooral fiscale redenen) in Ierland is gevestigd.

De Ierse toezichthouder wees de klacht van Schrems af, waarop Schrems zich tot het Ierse Hooggerechtshof heeft gewend. Het Ierse Hof vroeg advies aan het Hof in Luxemburg, dat op 6 maart 2015 uitspraak deed.

Het Hof oordeelde dat de ‘Safe Harbor’ afspraken tussen de EU en de VS onvoldoende bescherming bieden voor de privacy van Europese burgers. Het Hof is van mening dat dat de Europese Commissie – voordat de afspraken met de VS werden gemaakt – beter had moeten onderzoeken of de VS daadwerkelijk zorgvuldig omgaan met Europese persoonsgegevens.

Het Hof heeft – mede op grond van de onthulling van Edward Snowden – vastgesteld dat de Amerikaanse overheid zonder geldige reden toegang heeft tot persoonsgegevens van onder meer Facebookgebruikers. De Facebookgebruikers hebben bovendien geen rechtsmiddelen tot hun beschikking om hier tegen op te treden, terwijl dit laatste wel een internationaal erkend grondrecht is.

Als gevolg van de uitspraak van het Hof is de beschikking van de Europese Commissie waarop de ‘Safe Harbor’-afspraken gegrond waren, van tafel. Dit betekent praktisch dat een streep wordt gehaald door het hele principe van ‘Safe Harbors’. Voor Edward Snowden was dit in ieder geval genoeg reden om de Oostenrijkse student persoonlijk te feliciteren: “Congratulations, @MaxSchrems. You’ve changed the world for the better.”

De uitspraak kan inderdaad grote gevolgen hebben voor Europese bedrijven die persoonsgegevens doorgeven naar de VS. Toch is het niet zo dat persoonsgegevens in het geheel niet meer mogen worden doorgegeven naar de VS. In een persconferentie bevestigde vicevoorzitter van de Europese Commissie Timmermans gisteren dat het ‘Safe Harbor’-verdrag niet de enige manier is om gegevens met de VS uit te wisselen.

Artikel 77 Wbp stelt: “In afwijking van artikel 76 kan een doorgifte of een categorie van doorgiften van persoonsgegevens naar een derde land dat geen waarborgen biedt voor een passend beschermingsniveau, plaatsvinden indien:

1. de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven;
2. de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;
3. de doorgifte noodzakelijk is voor de sluiting of uitvoering van een in het belang van de betrokkene tussen de verantwoordelijke en een derde gesloten of te sluiten overeenkomst;
4. de doorgifte noodzakelijk is vanwege een zwaarwegend algemeen belang, of voor de vaststelling, de uitvoering of de verdediging in rechte van enig recht;
5. de doorgifte noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene, of
6. de doorgifte geschiedt vanuit een register dat bij wettelijk voorschrift is ingesteld en dat door een ieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan de wettelijke voorwaarden voor raadpleging.”

Uit de wet vloeit voorts een aantal overige uitzonderingen voort. Onder meer indien sprake is van goedgekeurde BCRs (zie onze eerdere blog hierover) mogen persoonsgegevens uitgewisseld worden met bedrijven in de VS. Misschien wel de belangrijkste uitzondering wordt gevormd door de zogenaamde ‘modelcontracten’ van de Europese Commissie. Door ondertekening van een modelcontract verklaart een buitenlandse partij zich te houden aan de Europese privacywetgeving. Hoewel dus ook hier sprake is van de spreekwoordelijke slager die zijn eigen vlees keurt, voorziet het modelcontract in voldoende mechanismen die de Europese verantwoordelijke in staat stellen om te controleren of de afspraken ook daadwerkelijk nageleefd worden door de buiten Europa gevestigde partij. In die zin biedt een modelcontract dus meer zekerheid dan de Safe Harbor-verklaring.

De Commissie heeft tot op heden drie van deze modelcontracten goedgekeurd. Indien partijen een goedgekeurd modelcontract hanteren, mogen persoonsgegevens met het betreffende bedrijf in dat derde land worden uitgewisseld, zonder dat verdere toestemming van de toezichthouder nodig is.

Kortom, de uitspraak van het Hof maakt de uitwisseling van persoonsgegevens met de VS niet gemakkelijker, maar ook zeker niet onmogelijk en bovendien (theoretisch) veiliger.

De uitspraak van het Hof heeft een aantal andere (potentiële) complicaties. Nu geen centraal Europees beleid meer bestaat, mogen de Europese lidstaten zelf voorwaarden stellen aan de uitwisseling van gegevens met de VS. Dit heeft als gevolg dat internationaal opererende bedrijven te maken krijgen met verschillende rechtssystemen met elk hun eigen eisen en voorwaarden. Het zekerstellen van compliance wordt hierdoor aanzienlijk gecompliceerd.

Bovendien is de Ierse privacywaakhond aan het onderzoeken of gegevens van Europese burgers überhaupt naar Facebook-servers in de VS mogen worden verzonden. Een negatief oordeel zou vergaande gevolgen kunnen hebben voor Amerikaanse bedrijven gevestigd in Ierland (Facebook, Apple, etc.) die gegevens op servers in de VS opslaan.

Er bestaan nog een aantal andere redenen waarom de exacte gevolgen van de uitspraak van het Hof moeilijk zijn te overzien. Zo lopen er al geruime tijd (moeizame) onderhandelingen tussen de VS en de EU over nieuwe ‘Safe Safe Harbor’ afspraken. Een nieuw verdrag zou uiteraard een nieuwe grondslag voor doorgifte van persoonsgegevens naar de VS vormen. Bovendien komt er binnenkort een nieuwe Europese Privacy Verordening aan, waardoor het Europese privacy raamwerk maar vooral ook het toezicht op de naleving van de regelgeving in internationaal verband op de schop zal gaan. Ook dit kan de nodige (nu nog moeilijk overzienbare) gevolgen hebben voor de uitwisseling van persoonsgegevens met de VS.

Europese bedrijven en instellingen zullen zo snel mogelijk in kaart moeten brengen of zij persoonsgegevens van Europese burgers naar de VS doorgeven. Belangrijk is te beseffen dat hier sneller sprake van is dan vaak wordt gedacht. Steeds meer bedrijven maken gebruik van vormen van ‘cloud computing’. Een groot aantal van de aanbieders van ‘software in the cloud’ is gevestigd in Amerika en maakt dus mogelijk gebruik van servers in de VS. Dit betekent dat persoonsgegevens worden doorgeven naar de VS, hetgeen dus niet zonder meer is toegestaan.

Nadat in kaart is gebracht welke gegevens in de VS worden opgeslagen of anderszins naar de VS worden doorgegeven, dient vastgesteld te worden op welke grondslagen dit gebeurt. Indien de doorgifte enkel en alleen op basis van de ‘Safe Harbor’-afspraken plaatsvond, zal een alternatieve grondslag moet worden gevonden. In de meeste gevallen zal het ondertekenen van de hiervoor besproken modelcontracten de meest voor de hand liggende oplossing zijn.

Ook dienen de bestaande bewerkersovereenkomsten mogelijk aangepast te worden. Dit zal met name voor verwerkingen ‘in de cloud’ gelden. Zie hiervoor ook onze blog ‘Cloudcomputing en de bewerkersovereenkomst’. De bestaande bewerkersovereenkomsten zullen in veel gevallen waarschijnlijk toch voor het einde van dit jaar aangepast moeten worden in verband met de nieuwe ‘Meldplicht Datalekken’, dus het lijkt voor de hand te liggen om beide punten in één keer goed te regelen.

Uiteraard staan de gespecialiseerde privacyrecht advocaten van De CLERCQ uw onderneming graag met raad en daad bij om compliance met de geldende en toekomstige wetgeving te bewerkstelligen.

Heeft u vragen over dit artikel, neemt u dan contact op met ons team IT, Privacy & Cybersecurity.