Op 6 oktober 2015 verklaarde het Europese Hof van Justitie de zogenaamde “Safe Harbor regeling” ongeldig. De Safe Harbor regeling zorgt ervoor dat persoonsgegevens van Europese burgers kunnen worden doorgegeven naar de Verenigde Staten.
Wat is het Safe Harbor Programma?
In principe geldt er een verbod om persoonsgegevens naar buiten Europa (officieel: de “Europese Economische Ruimte”) door te geven naar een land waar geen “passend beschermingsniveau” voor de privacy is. In Amerika is er niet een dergelijke passend beschermingsniveau.
De Europese Commissie heeft al enige tijd geleden in samenwerking met de US Department of Commerce een zelf-certificeringsprogramma opgezet waardoor Amerikaanse bedrijven die zich aan bepaalde basis principes houden toch gegevens van Europese burgers kunnen ontvangen. Dit is het Safe Harbor programma. Binnen dat programma, is de gedachte, is er dus wel een “passend beschermingsniveau”. Veel bedrijven maken hier gebruik van. Niet alleen bedrijven die clouddiensten aanbieden aan Europese burgers, zoals Google, Facebook, Microsoft en Amazon maar ook multinationals die hun hoofdkantoor in de VS hebben en gegevens van Europese werknemers in de VS hosten en verwerken.
Maar door de onthullingen van de NSA-praktijken door Edward Snowden is duidelijk geworden dat het Safe Harbor programma geen bescherming biedt tegen de “snuffelpraktijken” van Amerikaanse overheidsinstanties. Interessant detail daarbij is dat Amerikaanse burgers wél een bepaalde mate van bescherming genieten maar Europese burgers niet omdat zij als niet-Amerikaanse burgers geen beroep kunnen doen op de Amerikaanse wetgeving.
Wat nu?
Wat betekent het oordeel van het Hof voor bedrijven die gegevens van Europese burgers doorgeven naar de Verenigde Staten? In feite heeft het oordeel tot gevolg dat de gegevens niet meer mogen worden doorgegeven op basis van het Safe Harbor programma.
Er is een belangrijk alternatief voor handen en dat is het sluiten van een zogenaamd “Model contract voor doorgifte” van de Europese Commissie. Als een dergelijk contract wordt gesloten met de ontvanger van de gegevens, wordt er geacht een “passend beschermingsniveau” te zijn.
Het is echter nog te bezien of ook die modelcontracten de toets van het Europese Hof van Justitie kunnen doorstaan. Want ook die bieden geen volledige bescherming tegen het inzien of opvragen van gegevens door lokale overheidsinstanties. Hoewel in het contract wel dezelfde “toets” wordt voorgeschreven als die we in Europa hebben voor toegang door overheidsinstanties, moet nog maar blijken of lokale overheidsinstanties daar ook zo over denken. We weten dat de Amerikaanse overheidsinstanties dat in ieder geval niet doen.
Desondanks ziet het er op dit moment naar uit dat het sluiten van een modelcontract tussen de Europese “gegevensexporteur†en de Amerikaanse “gegevensimporteur” het realistische alternatief is om de gegevens op een geldige manier naar de Verenigde Staten door te geven. Tenzij het gaat om doorgifte binnen een concern dat zogenaamde “Binding Corporate Rules” heeft, dan kan doorgifte op basis daarvan geschieden.
Het is wachten hoe de Europese Commissie en de nationale toezichthouders op het arrest van het Hof zullen reageren, en of er overleg met de Verenigde Staten zal volgen om te zien hoe doorgifte wel mogelijk kan worden gemaakt. Want dat het arrest belangrijke consequenties voor de trans-Atlantische economie heeft, dat is wel duidelijk.
Reactie plaatsen
Reacties