Blog Legal Look: Victor de Pous over Safe Harbour
> Waar draait het om bij Safe Harbour? De Europese rechter bevestigde in de inmiddels al veelbesproken uitspraak Schrem vs. Facebook wat de verenigde privacytoezichthouders in Europa al lang vonden en telkens riepen. Het zogenoemde Safe Harbour verdrag uit 2000, gesloten tussen de Verenigde Staten en de Europese Commissie, biedt onvoldoende bescherming voor de bescherming van de persoonlijke levenssfeer van de Europese burger.
Dat vraagt om extra waarborgen. Deze zienswijze werd nog eens met een dikke pen onderstreept door klokkenluider Erik Snowden. Sinds de zomer van 2103 weet de hele wereld het: de National Security Agency en andere federale Amerikaanse overheidsorganisaties blijken - doorgaans gemakkelijk - toegang te hebben tot allerhande informatie, die te herleiden is tot een identificeerbaar natuurlijk persoon; ook de persoonsgegevens van Europese burgers zoals U en ik.
Het Europees Hof van Justitie verklaarde Safe Harbour op 6 oktober ongeldig. Onvoldoende bescherming, mede gelet op de omstandigheid dat er enerzijds een grootschalige verzameling van persoonsgegevens van Europese burgers plaatsvindt, terwijl anderzijds de burgers geen aanspraak kunnen maken op een effectieve rechtsbescherming. Safe Harbour blijkt dus geen veilige haven te zijn, die het handelsverkeer tussen de beide grootmachten rechtmatig faciliteert.
> Waarom is er überhaupt een privacyverdrag nodig? Wanneer de transfer van persoonsgegevens van binnen naar buiten de Europese Economische Ruimte (EU + Noorwegen, Liechtenstein en IJsland) plaatsvindt, schrijft het communautaire recht een passend beschermingsniveau voor. Bij dit type grensoverschrijdende doorgifte gaat het bijvoorbeeld om Nederlandse klantgegevens van een Zwitsers bedrijf, HR-data van multinationals, en bestanden met persoonsgegevens van Europese gebruikers van een cloud service provider in de VS. Schiet dat beschermingsniveau tekort, dan mag gegevensverkeer naar de zogenoemde derdelanden uitsluitend onder voorwaarden plaatsvinden. Denk aan
een wettelijke uitzondering of bijvoorbeeld een vergunning van de minister van Justitie, na advies van de toezichthouder afgegeven. Ook is het mogelijk dat Amerikaanse bedrijven een privacyovereenkomst sluiten met nationale toezichthouders in de Europese Unie, zoals in Nederland het College bescherming persoonsgegevens, waardoor wel dat passende niveau van bescherming wordt geboden. Vaak aangevuld met interne regels..
>Wat zijn de gevolgen voor cloud computing? Dat verschilt hoe je er tegen aankijkt en in het perspectief van de tijd. De verenigde toezichthouders hebben een harde deadline gesteld. Amerika en Europa moeten voor eind januari 2016 tot nieuwe afspraken komen, anders mag doorgifte niet langer plaatsvinden. De lat zal dus hoger moeten liggen. Partijen zijn daar inmiddels druk mee bezig. Goed beschouwd had dat handelingsproces sowieso al in gang gezet moeten worden, nu de Algemene Verordening Gegevensbescherming (die de verouderde Europese privacywetgeving vervangt) voor de deur staat. Deze nieuwe, pan-Europese privacyregeling met directe werking in alle 28 lidstaten van de Unie, scherpt de voorschriften voor de verwerking van persoonsgegevens aan; zelfs fors wanneer de Europese Commissie niet teveel water bij de wijn doet.
Ondertussen verkeert zeker niet iedere Amerikaanse (cloud)leverancier in een soort juridisch niemandsland, zoals we soms horen. Grote Amerikaanse bedrijven hebben doorgaans hun zaken door middel van onder meer door toezichthouders goedgekeurde privacy-modelcontracten (extern) en intern-gerichte gedragsregels (de zogenoemde Corporate Binding Rules) op orde, want deze juridische afspraken bieden een adequaat niveau van dataprotectie. Voor kleinere cloudspelers ligt dat mogelijk anders.
Mr. V.A. de Pous is bedrijfsjurist en industrie-analist. Hij houdt zich sinds 1983 bezig met de juridische aspecten van digitale technologie en informatiemaatschappij en is medewerker van uitgeverij FenceWorks.