Cathelijn Stratenus

Cath

VS geen 'safe harbor' meer voor persoonsgegevens. Wat nu?

08-10-2015

Het Hof van Justitie van de EU heeft op 6 oktober 2015 een streep gehaald door de beschikking van de Commissie van 26 juli 2000 waarin werd vastgesteld dat de VS een ‘passend beschermingsniveau’ waarborgt voor de doorgifte van persoonsgegevens vanuit de EU naar in de VS gevestigde organisaties. Als de betreffende organisatie in de VS die de persoonsgegevens ontvangt zich in het openbaar ertoe verbonden heeft de ‘Veiligehavenbeginselen’ na te leven, dan mochten die persoonsgegevens zonder vergunning van de Minister aan die organisatie in de VS worden doorgegeven.

Bedrijven als Facebook en Google hebben deze safe harbor principles onderschreven en beschikken over certificaten die dat aantonen. Personen en bedrijven die persoonsgegevens van bijvoorbeeld werknemers en klanten opslaan in ’the cloud’, dat wil zeggen op servers van bijvoorbeeld Google in de VS, hoefden daarom geen vergunning te hebben om die persoonsgegevens te mogen doorgeven aan de VS. Men hoefde daarvoor alleen een melding doen aan het College Bescherming Persoonsgegevens, tenzij de verwerking viel onder de voorwaarden van het Vrijstellingsbesluit. In dat laatste geval is ook een melding niet nodig.

Wat betekent deze milestone beslissing van het Hof van Justitie nu voor de Nederlandse privacyregels en de Nederlandse bedrijven die dagelijks persoonsgegevens van werknemers, klanten en relaties doorgeven aan de VS?

Op de website van het College Bescherming Persoonsgegevens cbpweb.nl staat nog geen inhoudelijke reactie op de uitspraak van het Hof vermeld. In een persbericht staat dat de Europese toezichthouders deze week in Brussel bij elkaar komen om te praten over een ‘gecoördineerde analyse’ van de uitspraak van het Hof en welke consequenties die heeft voor doorgifte van persoonsgegevens vanuit de EU naar de VS. Daarnaast komt er kennelijk een plenaire bijeenkomst van alle Europese Toezichthouders.

In de Wet Bescherming Persoonsgegevens staat als hoofdregel dat persoonsgegevens niet mogen worden doorgegeven of geëxporteerd naar een land buiten de EU, tenzij dat land een ‘passend beschermingsniveau’ biedt. Het Hof heeft nu geoordeeld dat dat voor de VS niet (langer) geldt, omdat overheidsinstanties zich niet houden aan de safe harbor principles. Op basis van Amerikaanse wetgeving zijn Amerikaanse ondernemingen verplicht altijd inmenging te dulden van overheidsinstanties als de nationale veiligheid, het openbaar belang en de rechtshandhaving in de VS in het geding zijn, en daarbij af te wijken van de beschermingsregels van de safe harbor principles.

In artikel 77 van de Wet Bescherming Persoonsgegevens is een aantal uitzonderingen op het verbod tot doorgifte aan landen buiten de EU zonder passend beschermingsniveau opgenomen, waarvan de belangrijkste zijn:

– Als de persoon wiens gegevens worden verwerkt en doorgegeven ondubbelzinnig toestemming heeft gegeven voor de doorgifte van die gegevens;
– Als de doorgifte noodzakelijk is vanwege een aantal in de wet genoemde redenen;
– Als er gebruik wordt gemaakt van een modelcontract als bedoeld in artikel 26 lid 4 van de privacy richtlijn van de EU. Deze modelcontracten zijn te vinden op de website van de Europese Unie: http://ec.europa.eu/justice/data-protection/international-transfers/files/clauses_for_personal_data_transfer_set_ii_c2004-5721.doc. Voorwaarde is wel dat er geen enkele aanpassing op dat modelcontract mag worden gemaakt.

Daarnaast kan bij de Minister een vergunning worden aangevraagd voor het doorgeven van persoonsgegevens aan derde landen zonder passend waarborgniveau. Het College Bescherming Persoonsgegevens onderzoekt de vergunningaanvraag en verbindt daaraan nadere voorschriften die pricavyrechten en –bescherming moeten waarborgen.

De uitspraak van het Hof zal er waarschijnlijk toe gaan leiden dat meer vergunningen voor dataexport naar Amerika aangevraagd zullen moeten worden bij het CBP. Wij houden de berichtgeving hierover voor u in de gaten.

Hebt u vragen hierover? Neem contact met ons op. Op de hoogte blijven van nieuwe ontwikkelingen? Meld u aan voor onze periodieke legal updates, of volg ons op LinkedIn of Twitter.

Deze blog is geschreven door Cathelijn Stratenus.