Print:

Safe Harbor-verdrag ongeldig verklaard: wat is de stand van zaken?

Steffie Bom , Tekstschrijver

LinkedIn profiel

Dilemma’s bij internationale datatransfers

Op 6 oktober 2015 heeft het Europese Hof van Justitie (het Hof) het Safe Harbor-verdrag ongeldig verklaard. Ondanks dat het Privacy Shield (de opvolger van Safe Harbor) over een maand in werking treedt, blijft er veel onzeker voor bedrijven. Alex van der Wolk, partner bij Morrison & Foerster, legt uit wat de stand van zaken is.

Wat was Safe Harbor?

De Europese Richtlijn uit 1995 bepaalt dat bedrijven persoonsgegevens van binnen de EER naar daarbuiten alleen mogen uitwisselen als dat land, naar de maatstaven van Europa, een adequaat beschermingsniveau biedt. Aangezien er in de VS geen universele privacywet is (maar vooral sectorspecifieke privacywetgeving), is er in de VS geen adequaat beschermingsniveau op basis waarvan persoonsgegevens vrij kunnen worden uitgewisseld. Tegelijkertijd is de VS een belangrijke handelspartner voor Europa. Om die reden hebben Europa en de VS al vroeg (namelijk in 2001) een bilaterale overeenkomst gesloten: Safe Harbor. Tot voor kort stelde Safe Harbor Amerikaanse organisaties in staat zich conform de Safe Harbor-regeling te certificeren. Daarna mocht uitwisseling van persoonsgegevens met de betreffende gecertificeerde entiteit plaatsvinden.

Speelveld op zijn kop

De Safe Harbor regeling heeft lange tijd dienst gedaan als grondslag voor de doorgifte van persoonsgegevens naar de VS. “Op 6 oktober 2015 werd echter een streep gezet door het verdrag”, vertelt Van der Wolk. “Volgens het Hof bereikte de Safe Harbor regeling toch niet het adequate beschermingsniveau dat beoogd werd. De discussie die was ontstaan door de publicaties van klokkenluider Edward Snowden – namelijk dat Amerikaanse overheidsinstanties op grote schaal toegang hadden tot data binnen Amerikaanse bedrijven en deze ook continu monitorden – bracht deze zaak uiteindelijk voor het Hof. Het Hof concludeerde dat de Safe Harbor regeling de waarborgen mistte voor deze vermeende ‘mass surveillance’. Bovendien bood het Europese burgers geen mogelijkheid om de legitimiteit van dit gebruik van de data te toetsen. Het oordeel van het Hof betekende het einde van Safe Harbor en het begin van een periode van onzekerheid voor het bedrijfsleven.”

Safe Harbor-verdrag privacy EU

Alternatieven

“De Europese privacytoezichthouders lieten na de uitspraak van het Hof al snel van zich horen. Ze gaven aan dat doorgiften van persoonsgegevens naar de VS op basis van Safe Harbor moesten stoppen. Ze onderkenden dat dit voor veel bedrijven een behoorlijke inspanning met zich mee zou brengen. Daarom gaven ze bedrijven een transitieperiode van enkele maanden om alternatieve middelen te zoeken om persoonsgegevens naar de VS door te geven. Na deze periode, die op 31 januari 2016 afliep, zou handhaving volgen”, aldus Van der Wolk.

“Alternatieven om data door te geven naar de VS zijn er,” voegt hij er aan toe, “maar het omwisselen van Safe Harbor voor deze alternatieven heeft veel voeten in de aarde. Je kunt bijvoorbeeld op basis van modelcontracten van de Europese Commissie data doorgeven naar de VS, maar deze contracten moeten dan wel zonder wijzigingen ondertekend worden. Hier lopen de contractspartijen soms op vast. Een ander alternatief is het implementeren van Binding Corporate Rules, maar hier komt aanzienlijk wat tijd bij kijken en vereisen goedkeuring van Europese toezichthouders. Ten slotte kunnen doorgiften ook plaatsvinden op basis van toestemming van elke betrokkene, maar dit is in de praktijk niet altijd even praktisch.”

Privacy Shield omstreden

Direct na het ongeldig verklaren van het Safe Harbor-verdrag is de Europese Commissie met de VS rond de tafel gaan zitten. Ze waren al bezig met een opvolger voor Safe Harbor en daar kwam nu versnelling in. Op 1 februari, de dag dat de transitieperiode afliep, bereikten ze overeenstemming en werd een nieuw verdrag gesloten: het Privacy Shield. Vanaf 1 augustus 2016 kunnen Amerikaanse bedrijven zich volgens het Privacy Shield laten certificeren.

“Het betekent echter niet per definitie een einde aan de onzekerheid voor bedrijven”, aldus Van der Wolk. “Critici van het Privacy Shield hebben al aangekondigd deze ook weer te willen laten toetsen door het Hof, omdat de waarborgen omtrent de mass surveillances wat hen betreft niet ver genoeg gaan”. Van der Wolk benadrukt ook dat de focus tot dusverre ligt op de VS. “Maar hoe zit het met andere landen buiten Europa? Gaan de bevindingen van het Hof ook voor deze landen gelden?”

Hoe te wapenen?

Het feit is dat het bedrijfsleven niet zonder data-uitwisseling kan. “Geen data uitwisselen is simpelweg geen optie, dan ligt de economie stil”, zegt Van der Wolk. “Het vereist enige navigatie, maar er zijn zeker mogelijkheden voor bedrijven om zich te wapenen.”

Op het Nationaal Dataprotectie & Privacycongres op 14 september neemt Alex van der Wolk (en aantal multinationals) deel aan de paneldiscussie: Internationale datadoorgifte: wanneer & onder welke omstandigheden? Hij vertelt dan ook meer over de mogelijkheden die er zijn.