De ongeldigheid van Safe Harbour en de Amerikaanse cloud

Robbert Henneman

Het ongeldig verklaren van Safe Harbour door het Europese Hof van Justitie zal voor Nederlandse klanten van Amerikaanse cloudleveranciers in veel gevallen weinig gevolgen hebben.

Safe Harbour

De Europese en Nederlandse privacy wetgeving staat niet toe dat persoonsgegevens buiten Europa verwerkt worden, tenzij het ontvangende land een passend beschermingsniveau biedt. Voor het doorgeven van persoonsgegevens vanuit Europese landen naar Amerika heeft de Europese Commissie op 26 juli 2000 de Safe Harbour beschikking afgegeven. Op grond van deze beschikking kon Amerika binnenlandse bedrijven die adequate bescherming boden voor de verwerking van Europese persoonsgegevens zelf certificeren. Na verkregen certificering mochten Amerikaanse bedrijven Europese persoonsgegevens verwerken in Amerika.

Uitspraak

In een uitspraak van 6 oktober 2015 heeft het Europese Hof van Justitie geoordeeld dat de Safe Harbour beschikking ongeldig is. Het Hof kwam tot deze conclusie (onder meer) omdat de Amerikaanse overheid zich op basis van nationale wetgeving toegang kan verschaffen tot Europese persoonsgegevens die in Amerika zijn opgeslagen.

Gevolgen voor klanten van Amerikaanse cloudleveranciers

Na de uitspraak van het Hof wordt door verschillende partijen (waaronder Nederlandse hosting providers) beweerd dat persoonsgegevens niet langer aan Amerikaanse cloudleveranciers toevertrouwd kunnen worden. Dat is echter te kort door de bocht. Veel Amerikaanse cloudleveranciers (waaronder Amazon Web Services en Microsoft Azure) bieden hun in Europa gevestigde klanten de mogelijkheid om persoonsgegevens uitsluitend binnen Europa op te slaan en dus niet door te geven aan Amerika. Als bedrijven van deze optie gebruik maken, dan heeft de uitspraak van het Europese Hof geen consequenties voor de verwerking van data in de cloud. De persoonsgegevens blijven immers binnen Europa, zodat van doorgifte naar Amerika geen sprake is.

Daarnaast hebben de meeste grote Amerikaanse cloudleveranciers (zoals Amazon Web Services en Microsoft Azure) hun beschermingsregime voor persoonsgegevens (op basis van modelcontracten) voorgelegd aan de Artikel 29-werkgroep (het onafhankelijke advies- en overlegorgaan van Europese privacytoezichthouders) en daar een goedkeuring voor gekregen. Op basis van een individuele goedkeuring mogen deze Amerikaanse cloudleveranciers ook zonder de Safe Harbour beschikking persoonsgegevens verwerken in Amerika. Wellicht komen privacytoezichthouders tot het oordeel dat deze individuele goedkeuring om dezelfde redenen als de Safe Harbour beschikking ongeldig is, maar daar is vooralsnog geen sprake van.

Op dit moment overlegt de Artikel 29-werkgroep wat de consequenties zijn van de uitspraak van het Europese Hof. Europa is al in onderhandeling met Amerika over een Safe Harbour II en de uitspraak van het Europese Hof zal zeker gebruikt worden bij die onderhandelingen. Totdat Safe Harbour II een feit is zullen Amerikaanse partijen die voorheen persoonsgegevens verwerkten op basis van de Safe Harbour beschikking en nog geen individuele goedkeuring voor de verwerking van persoonsgegevens in Amerika hebben, deze alsnog moeten aanvragen.

Conclusie

Veel Nederlandse bedrijven die persoonsgegevens laten verwerken door een Amerikaanse cloudleverancier zullen gekozen hebben voor de opslag van persoonsgegevens binnen Europa. De uitspraak van het Hof van Justitie heeft voor deze bedrijven – voor wat betreft de opslag van data in de cloud – geen consequenties. Dat geldt ook voor Nederlandse bedrijven die klant zijn bij Amerikaanse cloudleveranciers die een individuele goedkeuring van de Artikel 29-werkgroep hebben.

Bedrijven die persoonsgegevens laten verwerken in Amerika door cloudleveranciers (of andere leveranciers) die geen individuele goedkeuring voor verwerking hebben, zullen met deze leveranciers in gesprek moeten over een oplossing. Wat een goede oplossing is zal afhankelijk zijn van de uitkomst van het overleg van de Artikel 29-werkgroep. Het College bescherming persoonsgegevens (het CBP, de Nederlandse privacytoezichthouder) zal pas een formeel standpunt innemen nadat de uitkomst van het overleg bekend is. In ieder geval heeft het CBP aangegeven pragmatisch met de kwestie om te zullen gaan en niet voornemens te zijn om dataverkeer tussen Nederland en Amerika stil te leggen.