Wolters Kluwer
ICT door Menno Weij 14 oktober 2015

EU-Hof vindt VS onveilig voor opslag privacy data. Wat nu?

Je hebt het vast meegekregen: De hoogste Europese rechter heeft een streep gezet door de afspraak die de Europese commissie met Amerika had gemaakt in verband met de opslag van persoonsgegevens op servers in Amerika. Tja, dus wat nu? 

Even de juridisch-technische achtergrond: de privacy-regels in Europa zijn gebaseerd op een richtlijn, die de EU-lidstaten dan moeten implementeren in de eigen wetgeving. Zo is de richtlijn in Nederland geïmplementeerd in de Wet Bescherming Persoonsgegevens. Zijn er volgens uitleg vragen over de geïmplementeerde wetgeving, dan stelt een nationale rechter die vragen aan de hoogste Europese rechter.

Persoonsgegevens

Dan de achtergrond van de zaak zelf: de uitspraak is gedaan in de Schrems vs. Facebook zaak. De Oostenrijkse Maximillian Schrems had een klacht ingediend bij de Ierse Privacy waakhond tegen Facebook Ierland, wegens de doorgifte van zijn persoonsgegevens naar het moederbedrijf Facebook Inc. in de Verenigde Staten. De Ierse waakhond nam de klacht niet in behandeling, onder verwijzing naar de Safe Harbor afspraak tussen de EU-commissie en Amerika. In deze Safe Harbor deal zijn, kort gezegd, afspraken neergelegd over de doorgifte en opslag van data zoals persoonsgegevens naar Amerika, waaraan Amerikaanse bedrijven moeten voldoen. Dus de gedachte van de commissie was: als een bedrijf in de VS zogenaamd 'Safe Harbor gecertificeerd' is, is er sprake van een toegestane doorgifte naar dat bedrijf onder de Europese privacy regels. De Europese privacy-regels gaan uit van een ‘passend beschermingsniveau’.

De zaak draait juridisch gezien dus om de vraag of de Safe Harbor deal tussen de EU-commissie en Amerika een passend beschermingsniveau biedt. Niet dus, zegt nu het Europees Hof. Kortom, een flinke tik door het EU-hof op de vingers van de EU-commissie.

Allereerst oordeelt de hoogste Europese rechter dat de nationale privacy waakhonden, als onafhankelijk instituut, de bevoegdheid hebben om verwerkingen van persoonsgegevens te onderzoeken en of er sprake is een passend beschermingsniveau. De commissie kon dit recht niet wegnemen met de Safe Harbor deal.

Online data

Ten tweede oordeelt de hoogste Europese rechter dat de Safe Harbor deal met Amerika géén passend beschermingsniveau biedt. Het Hof overweegt dat op basis van – nota bene - de eigen(!) analyse van de commissie, blijkt dat de Amerikaanse autoriteiten, op grote schaal en ongedifferentieerd, toegang hebben tot digitale gegevens afkomstig uit de EU, en wordt er daarnaast volgens het Hof niet voorzien in administratieve of juridische rechtsmiddelen voor de betrokkenen (degenen om wiens gegevens het gaat). Daarom wordt de Safe Harbor afspraak ongeldig verklaard. Neem van mij aan: dit doet pijn voor de Europese commissie.

En wat nu dus? Doordat de Safe Harbor afspraak ongeldig is verklaard, is iedere doorgifte van online data vanuit de EU naar de VS die is gebaseerd op de Safe Harbor certificering van dat Amerikaanse bedrijf, per direct onrechtmatig. Dat raakt niet alleen Facebook, maar bijvoorbeeld ook Europese bedrijven die met een Amerikaanse, Safe Harbor gecertificeerde Cloud-leverancier in zee zijn gegaan. Die bedrijven hebben nu ook een probleem.

Op zich is er nog een aantal andere mogelijkheden om rechtmatig gegevens door te geven naar de VS. Ten eerste kan aan de betrokkene toestemming worden gevraagd voor de doorgifte. Dit zal echter in veel gevallen praktisch onmogelijk blijken.

Doordat de Safe Harbor afspraak ongeldig is verklaard, is iedere doorgifte van online
data vanuit de EU naar de VS die is gebaseerd op de Safe Harbor certificering

van dat Amerikaanse bedrijf, per direct onrechtmatig

Ten derde heeft de commissie eerder de zogenaamde EU modelcontracten opgesteld. Met deze contracten poogt de commissie te borgen dat de doorgifte naar élk niet-Europees land mogelijk wordt gemaakt. Het lijkt simpel: als niet-Europees bedrijf teken je deze modelcontracten en de doorgifte is volgens de Europese commissie geborgd. Maar de praktijk is echter grilliger: niet-Europese bedrijven hebben grote moeite met de reeks kettingbedingen en garantieverplichtingen in die modelcontracten. In de overhaast opgezette persconferentie van de commissie na de uitspraak van het Hof, verwees Frans Timmermans ook naar deze modelcontracten als optie, waarmee volgens hem de doorgifte naar de VS alsnog mogelijk is.

Servers in Amerika

Maar even los van de grillige praktijk, gaat de Europese commissie mijns inziens echter voorbij aan een cruciaal punt in de beslissing van het Europese Hof. Het Hof overweegt expliciet dat - nota bene op basis van de eigen analyse van de commissie - de Amerikaanse autoriteiten op grote schaal en ongedifferentieerd toegang hebben tot persoonsgegevens afkomstig uit de EU. En dat is het Europees Hof kennelijk een doorn in het oog.

Hoe graag de commissie dat misschien ook wenst of hoopt, maar de door haar zelf opgestelde modelcontracten nemen dit punt van onze hoogste Europese rechter natuurlijk niet weg. Immers, zodra persoonsgegevens op servers in Amerika zijn opgeslagen, kan de Amerikaanse overheid - op basis van Amerikaanse wetgeving - zich daartoe toegang verschaffen, op een wijze die het Europese Hof nu juist afkeurt! Het is wat mij dus een kwestie van tijd dat het Europees Hof beslist dat ook deze modelcontracten de vuilnisbak in kunnen.

Dus hoe je het ook went of keert, de commissie heeft wat mij betreft nu een behoorlijk (politiek) probleem, die haar onderhandelpositie met de Verenigde Staten er bepaald niet sterker op maakt. Want op dit moment is de doorgifte van persoonsgegevens naar de Verenigde Staten feitelijk onmogelijk geworden, gezien de kritiek van het Europees Hof op de Amerikaanse praktijken en is het dus nu aan de Europese commissie om van de Verenigde Staten gedaan te krijgen dat zij haar eigen wet- en regelgeving aanpast op een zodanige wijze die de goedkeuring van het Europese Hof kan dragen. Een dergelijke knieval bij de Amerikanen bewerkstelligen, lijkt me bepaald geen sinecure.

De nieuwste blogs 

Wil je op de hoogte worden gebracht van nieuwe blogs? 
Meld je aan voor de blog 'De online accountant':  

Aanmelden blog.png 

Onze meest recente blogs:

Ondernemen, Vaktechniek, ICT

Voorkom phishing en herken hackers

ICT

Voorkom datalekken en hoge boetes

Vaktechniek

Accountability in AVG: toestemming

Vaktechniek

Accountability in AVG: het uitvoeren van een DPIA

Vaktechniek

Bescherm je kantoor tegen datalekken