17
Jun
2016

Boetes uitgedeeld voor uitwisseling op basis van Safe Harbor

In Duitsland zijn voor het eerst boetes uitgedeeld aan bedrijven die persoonsgegevens aan een organisatie van de VS doorgaven op basis van de Safe Harbor beschikking. Deze beschikking is echter ongeldig verklaard door het Europese Hof van Justitie, omdat onder Safe Harbor de bescherming van persoonsgegevens onvoldoende werd gewaarborgd. Een update over de actualiteit.

Hoe zat het ook alweer?

Op verwerking van persoonsgegevens is de Europese privacyrichtlijn (95/46/EG) van toepassing. In Nederland is deze geïmplementeerd in de Wet bescherming persoonsgegevens (Wbp). Op grond van de richtlijn mogen persoonsgegevens niet worden doorgegeven naar landen buiten Europa, tenzij deze voldoende waarborgen bieden voor de bescherming van persoonsgegevens. In 2000 heeft de Europese Commissie de “Safe Harbor”-beschikking uitgevaardigd, waarin was opgenomen dat persoonsgegevens toch konden worden doorgegeven aan Amerikaanse organisaties die verklaarden bepaalde maatregelen (de Safe Harbor “principles”) te hebben genomen.

In oktober 2015 heeft het Hof van Justitie in het “Schrems”-arrest de Safe Harbor beschikking ongeldig verklaard. De zaak betrof een klacht die de Oostenrijkse rechtenstudent Max Schrems bij de Ierse privacytoezichthouder indiende tegen Facebook. Het bedrijf bood volgens hem onvoldoende waarborgen voor de bescherming van zijn persoonsgegevens die door Facebook werden doorgezonden naar de Verenigde Staten. Door de onthullingen van Edward Snowden, is namelijk gebleken dat Amerikaanse overheidsinstanties massasurveillance toepassen op de data van Amerikaanse organisaties, ook als deze zich conformeren aan Safe Harbor. Het Hof van Justitie ging mee in deze argumentatie. 

Safe Harbor niet bruikbaar

Safe Harbor biedt dus geen geldige basis meer voor de doorgifte van persoonsgegevens naar de Verenigde Staten. Een andere mogelijkheid voor doorgifte is het gebruik van modelclausules die zijn vastgesteld door de Europese Commissie. Door deze ongewijzigd overeen te komen, kunnen persoonsgegevens over Europese burgers worden uitgewisseld met een Amerikaanse partij. Inmiddels worden deze ook door Facebook gehanteerd.

Unilever, Punica en Adobe waren echter nog niet zover en hanteerden nog steeds Safe Harbor als basis voor doorgifte. De Duitse toezichthouder heeft hen daarom boetes opgelegd van € 11.000, € 9.000 en respectievelijk € 8.000 euro. De boetes zijn relatief laag omdat de partijen tijdens het onderzoek van de toezichthouder maatregelen namen en overgingen op een andere basis voor doorgifte.

Modelcontracten: een goede basis?

De Duitse toezichthouder laat echter weten dat het de vraag is of ook modelclausules voldoende waarborgen bieden voor bescherming van persoonsgegevens die naar de VS worden doorgegeven. Die mening is ook Max Schrems toegedaan: de Amerikaanse overheid is niet gestopt met massasurveillance toen Facebook overging op modelclausules. Het onderliggende probleem is met andere woorden nog steeds aanwezig. Inmiddels is Schrems weer naar de Ierse privacytoezichthouder gestapt. Deze legt de vraag of modelclausules wel voldoende waarborgen bieden, voor aan het Hof van Justitie. Inmiddels heeft de Amerikaanse overheid laten weten als belanghebbende aan te willen haken bij dit proces.

Mocht het Hof van Justitie op dezelfde grond (Europese persoonsgegevens mogen niet worden onderworpen aan Amerikaanse massasurveillance) oordelen dat modelcontracten onvoldoende waarborgen bieden, dan worden de mogelijkheden voor rechtmatige doorgifte van persoonsgegevens naar Amerika beperkt. Er kan wellicht gebruik worden gemaakt van Binding Corporate Rules (BCR) of een vergunning van de minister, maar deze werkwijzen zijn kostbaar. Bovendien blijft dan ook het probleem van massasurveillance onopgelost en bestaat de mogelijkheid dat het Hof van Justitie ook door deze methoden een streep zet.

Status Privacy Shield

De Europese Commissie en de Amerikaanse overheid zitten ondertussen niet stil. Na de ongeldigverklaring van Safe Harbor werd op 2 februari 2016 Safe Harbor 2.0, het “Privacy Shield”, gepubliceerd, waar al meerdere jaren over werd onderhandeld. Dit verdrag zou wel de waarborgen moeten bieden die Safe Harbor niet bood.

Door de artikel 29-Werkgroep (het onafhankelijke advies -en overlegorgaan van Europese privacytoezichthouders), het Europees Parlement en recentelijk ook door de Europese Toezichthouder gegevensbescherming zijn echter diverse negatieve kanttekeningen bij het Privacy Shield geplaatst. Het verdrag zou onder meer onoverzichtelijk zijn en klachtprocedures te ingewikkeld. Bovendien is massasurveillance op Europese persoonsgegevens nog steeds niet uitgesloten. Kortom: het is ook de vraag hoe bruikbaar het Privacy Shield gaat zijn. Wij houden u op de hoogte. Hebt u vragen naar aanleiding van deze blog of een andere vraag over het privacyrecht? Neem dan gerust contact met ons op. We helpen u graag.