Goodbye Safe Harbour, Hello EU-VS Privacy Shield

Auteur
Robbert Henneman
Datum

Consequenties van het Europese akkoord over het EU-VS Privacy Shield

Safe Harbour ongeldig

In oktober van vorig jaar plaatste ik hier een post over het wegvallen van de Safe Harbour regeling door een uitspraak van het Europese Hof in een zaak aangespannen door de Oostenrijkse privacy-activist Max Schrems. Schrems was van mening dat de door Facebook in de VS onder de Safe Harbour regeling opgeslagen persoonsgegevens niet veilig waren, onder meer vanwege verregaande opsporingsbevoegdheden van de Amerikaanse overheid. Ondanks de Safe Harbour regeling kon de Amerikaanse overheid zich zonder rechterlijke tussenkomst toegang verschaffen tot Europese persoonsgegevens. Het Europese Hof oordeelde dan ook dat de Safe Harbour regeling onvoldoende garanties bood voor het veilig verwerken van Europese persoonsgegeven in de VS.

Alternatieven Safe Harbour

Ook na het wegvallen van Safe Harbour zijn veel Europese bedrijven gebruik blijven maken van de diensten van Amerikaanse bedrijven. Amerikaanse bedrijven zoals cloud leveranciers Amazon Web Services en Microsoft bieden de mogelijkheid om persoonsgegevens op locaties binnen Europa op te slaan en te verwerken. Bovendien konden persoonsgegevens nog wel naar de VS doorgegeven worden door het gebruik van EU-modelcontracten, Binding Corporate Rules of met toestemming van de minister van Justitie.

EU-VS Privacy Shield in werking getreden

Na het wegvallen van de Safe Harbour zijn de VS en EU direct in onderhandeling getreden over een alternatief voor Safe Harbour. Dit EU-VS Privacy Shield is gisteren (12 juli 2016) in werking getreden. Het staat Europese bedrijven daardoor vrij om weer persoonsgegevens te laten verwerken in de VS door bedrijven die deelnemen aan het Privacy Shield programma. Gebruik van de hiervoor genoemde modelovereenkomsten, Binding Corporate Rules of toestemming is niet meer vereist.

EU-VS Privacy Shield, Wat is er nieuw?

Net als bij de Safe Harbour regeling kunnen Amerikaanse bedrijven deelnemen aan het Privacy Shield Programma door zich te committeren aan de eisen die worden gesteld aan de verwerking van Europese persoonsgegevens. Een verschil met Safe Harbour is dat het Privacy Shield programma niet op basis van zelfregulering is, maar dat naleving van de regels daadwerkelijk kan worden gecontroleerd. De omgang met Europese persoonsgegevens dient nauwkeurig te worden vastgelegd en bedrijven die zich niet houden aan de regels worden verwijderd uit het programma. Er komt een ombudsman waar Europeanen kunnen aankloppen bij klachten over de verwerking van persoonsgegevens. De Amerikaanse overheid heeft toegezegd geen opsporingsoperaties uit te voeren op Europese persoonsgegevens en er vindt geen inmenging in dataoverdracht plaats door de inlichtingendiensten.

Toch nog niet veilig?

Ondanks deze nieuwe maatregelen en toezeggingen van de Amerikaanse overheid is er veel commentaar op het EU-VS Privacy Shield. Kort gezegd omdat het beschermingsniveau voor persoonsgegevens nog steeds lager ligt dan binnen de EU. De Europese toezichthouders zijn bang dat het EU-VS Privacy Shield om die reden ongeldig zal worden verklaard als dit voorgelegd wordt aan het Europese Hof. Het is mogelijk dat de toezichthouders het EU-VS Privacy Shield zelf zullen voorleggen aan het Europese Hof. Doen zij dit niet, dan zal Schrems of een andere privacy-activist dit waarschijnlijk wel doen.

Wat is wijsheid?

Als het EU-VS Privacy Shield ongeldig wordt verklaard dan keren we terug naar de situatie dat er geen standaard-regeling is voor de doorgifte van Europese persoonsgegevens naar de VS. Europese bedrijven die persoonsgegevens (laten) verwerken doen er daarom goed aan te kiezen voor betrouwbare professionele contractspartijen die ook bij het wegvallen van het EU-VS Privacy Shield nog kunnen voldoen aan de eisen die door Europese richtlijn en nationale wetgeving van lidstaten worden gesteld aan de verwerking van persoonsgegevens.

Samengevat

De Safe Harbour regeling is ongeldig verklaard en per 12 juli jl. vervangen door de EU-VS Privacy Shield. Een regeling die op zich betere bescherming biedt dan de Safe Harbour, maar waar vanuit verschillende kanten nog veel commentaar op is. Het is dus afwachten of het EU-VS Privacy Shield een lang leven beschoren is. Partijen die data laten verwerken door Amerikaanse partijen zullen voorbereid moeten zijn op het ongeldig verklaren van het EU-VS Privacy Shield.

Voor klanten van Mirabeau

Maak je op dit moment gebruik van cloud services van Microsoft of AWS en blijft je data in de EU, dan heeft het EU-VS Privacy Shield – of het eventuele wegvallen daarvan – geen gevolgen.

Tags

Security Legal Cloud