Safe harbour? No more!

Deze week heeft het Europese Hof van Justitie de Safe Harbour beschikking van de Europese Commissie ongeldig verklaard. In dit artikel zal kort stil worden gestaan bij de achtergrond en betekenis van de Safe Harbour Principles, de uitspraak die tot de ongeldigverklaring heeft geleid en de gevolgen van deze ongeldigverklaring voor de praktijk. Achtergrondinformatie In 1995 is de Richtlijn bescherming persoonsgegevens aangenomen. Onder persoonsgegevens wordt 'iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon' verstaan. Artikel 25 van de Richtlijn vereist een passend beschermingsniveau voor doorgifte van EU- persoonsgegevens naar derde landen (landen buiten de EU). Het is dus in beginsel verboden persoonsgegevens te delen met derde landen die de bescherming daarvan niet kunnen waarborgen. De Europese Commissie kan door middel van een beschikking besluiten dat een derde land wel een passend beschermingsniveau biedt. In de Verenigde Staten (VS) bestaat geen algemene wetgeving voor de bescherming van persoonsgegevens. De doorgifte van persoonsgegevens naar de VS is in beginsel dan ook in strijd met artikel 25 van de Richtlijn. Om de doorgifte van persoonsgegevens naar de VS toch mogelijk te maken heeft de Europese Commissie in 2000 de Safe Harbour Principles middels beschikking vastgesteld. Amerikaanse organisaties die zich aan deze beginselen houden worden geacht een passend beschermingsniveau te bieden, waardoor de doorgifte van persoonsgegevens is toegestaan. De zaak die tot de ongeldigverklaring heeft geleid De Oostenrijker Scherms heeft bij de Ierse toezichtouder een klacht ingediend inzake de verwerking van persoonsgegevens van Europese facebookgebruikers op Amerikaanse servers. Volgens Scherms zou uit de onthullingen van Snowden blijken dat de VS onvoldoende bescherming biedt van persoonsgegevens en zodoende niet als een 'safe harbour' kan worden gekwalificeerd. De Ierse toezichthouder heeft de klacht op grond van de Safe Harbour beschikking afgewezen. Dit heeft geleid tot een procedure waar het Iers Hooggerechtshof het Europese Hof de vraag stelt of de Safe Harbour beschikking tot gevolg heeft dat een nationale toezichthouder een klacht inzake een derde land dat geen waarborgen voor een passend beschermingniveau biedt mag onderzoeken. Het Europese Hof heeft van deze mogelijkheid gebruik gemaakt om zich uit te laten over de desbetreffende beschikking en deze ook te toetsen. Het Europese Hof is van mening dat een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie en die niet in een beroepsmogelijkheid voorziet, moet worden aangemerkt als een inbreuk op het recht op privacy. De beschikking werd ongeldig verklaard. De reactie van de Europese toezichthouders en de gevolgen voor de praktijk Dit is het derde baanbrekende arrest van het Europese Hof in korte tijd, na de introductie van het recht om vergeten te worden (Google/Spain) en de ongeldigverklaring van de Dataretentierichtlijn. Mijns inziens levert deze uitspraak een belangrijke bijdrage aan de bescherming van  het fundamentele recht van Europeanen op databescherming. De ongeldigheidverklaring heeft echter wel tot gevolg dat er per 6 oktober 2015 geen persoonsgegevens van Europese burgers mogen worden uitgewisseld met de Amerikaanse bedrijven op grond van de Safe Harbour beschikking. Er bestaan echter ook andere manieren om persoonsgegevens op rechtmatige wijze aan Amerikaanse bedrijven door te geven, zoals door het gebruik van EU modelclausules of Binding Corporate Rules. Kort na de uitspraak waarschuwde de Duitse toezichthouder dat ook deze alternatieven illegaal zijn en dat bedrijven die zonder 'wettelijke' basis Europese persoonsgegevens opslaan op Amerikaanse servers een fikse boete riskeren (€ 300.000). Op 16 oktober 2014 kwamen de Europese privacytoezichthouder, waaronder het CBP, met een gezamenlijke reactie op de Safe Harbour uitspraak. De toezichthouders doen hierin een oproep aan de Europese Commissie en de EU lidstaten om zo spoedig mogelijk nieuwe afspraken te maken met de Verenigde Staten. Volgens de toezichthouders kunnen bedrijven in de tussentijd wel gebruik maken van de hierboven genoemde alternatieven. Dit neemt echter niet weg dat toezichthouders er in individuele gevallen, bijvoorbeeld op grond van een klacht, voor kunnen kiezen in te grijpen om de persoonsgegevens te beschermen. De Europese toezichthouders waarschuwen dat als er eind januari 2016 geen oplossing is gevonden zij alle noodzakelijke maatregelen zullen nemen om de persoonsgegevens te beschermen. Dit is de meeste recente stand van zaken. Het is in ieder geval duidelijk dat de toekomst van de uitwisseling van persoonsgegevens met Amerikaanse bedrijven zeer onzeker is. Wij zullen de ontwikkelingen op de voet blijven volgen en u hierover informeren. Conclusie Het is belangrijk om te onderzoeken of uw bedrijf, of één van uw leveranciers, persoonsgegevens uitwisselt met de Verenigde Staten en of deze uitwisseling uitsluitend op grond van de Safe Harbor beschikking plaatsvindt. Als dat zo is zult u onmiddellijk alternatieve veiligheidsmaatregelen moeten treffen (EU modelclausules of Binding Corporate Rules). Of deze alternatieven eind januari nog afdoende zekerheid zullen bieden is op dit moment hoogst twijfelachtig. Wij kunnen u ondersteunen om volledig privacy compliant te worden. Bij vragen over de concrete gevolgen voor uw bedrijf, of overige vragen, kunt u contact opnemen met Kim de Bonth.