7
Jan
2016

Meldplicht datalekken is in werking, en nu?

Vanaf 1 januari 2016 is de meldplicht datalekken van toepassing. De Autoriteit Persoonsgegevens kan vanaf nu boetes tot maximaal € 820.000 opleggen aan organisaties, wanneer deze de Wet bescherming Persoonsgegevens overtreden.

Safe Harbor

Daarnaast hebben wij in een eerder blog aangegeven, dat de Europese rechter de Safe Harbor beschikking ongeldig heeft verklaard. De Safe Harbor-beschikking was bedoeld om een passend beschermingsniveau te waarborgen van datadoorgifte van persoonsgegevens tussen de EU en de VS. Indien Amerikaanse bedrijven een Safe Harbor-status hadden, mochten Europese bedrijven er van uit gaan, dat werd voldaan aan rechtmatige verwerking van persoonsgegevens. Althans, dat dacht men. Na de onder meer onthullingen van Edward Snowden is natuurlijk gebleken, dat persoonsgegevens worden ingezien door Amerikaanse inlichtingendiensten, ook als deze gegevens werden verwerkt door bedrijven met een Safe Harbor-status. Het Europese Hof heeft daarom in deze zaak de Safe Harbor-beschikking ongeldig verklaard.

Deze uitspraak heeft dus een groot effect op de Nederlandse ondernemingen, die zaken doen met bedrijven, die een Safe Harbor-status hebben. Er wordt momenteel onderhandeld over een nieuw Safe Harbor-akkoord, de uitkomst daarvan is echter nog onduidelijk.

Mogelijke oplossingen

In de tussentijd zijn er wel enkele alternatieve grondslagen mogelijk. Hierbij citeren wij uit een brief van de minister van Veiligheid en Justitie:

Zolang geen instrument op Unieniveau bestaat dat de beschikking kan vervangen, dienen bedrijven zich te beraden op alternatieve grondslagen voor de doorgifte van gegevens naar de VS. De voor bedrijven meest voor de hand liggende alternatieven zijn:

  • De doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke, of voor het totstandkomen daarvan.
  • De doorgifte vindt plaats op grond van een door de Commissie goedgekeurde modelcontractsbepaling die bepaalde waarborgen biedt.
  • De doorgifte vindt plaats met toepassing van intern bindende bedrijfsvoorschriften (Binding Corporate Rules). Deze regelingen worden door bedrijven die in concernverband georganiseerd zijn en vennootschapsrechtelijke vestigingen hebben buiten de EU zelf vastgesteld. Daarmee ontstaat een eigen interne privacycode die geldt voor het hele concern. Die regelingen moeten echter worden goedgekeurd door alle betrokken nationale toezichthouders. Daarbij worden Europese toetsingsnormen gehanteerd.
  • De doorgifte vindt plaats krachtens een grondslag die het nationaal recht biedt. In Nederland is dat een vergunning van de Minister van Veiligheid en Justitie op grond van art. 77, tweede lid, van de Wbp.

Minder voor de hand liggend is toestemming van de betrokkene. De richtlijn laat ook voldoende ruimte voor een beoordeling van het passend beschermingsniveau door de verantwoordelijke zelf. Op enkele consequenties van deze keuzes wordt in het onderstaande teruggekomen. Welke keuze ook wordt gehanteerd, altijd moet worden bedacht dat de autoriteiten van de VS over ruime mogelijkheden beschikken om ten behoeve van de rechtshandhaving of de nationale veiligheid gegevens te vorderen van degene die daarover de feitelijke beschikking heeft en zich binnen de rechtsmacht van de VS bevindt. Dat kan doordat het bedrijf waaraan de gegevens zijn doorgegeven in de VS is gevestigd, of deel uitmaakt van een vennootschapsrechtelijke groep met een vertakking in de VS. Dat geldt doorgaans ook voor de gevallen waarin de gegevens worden verwerkt op servers die zich buiten de VS bevinden. Ook wanneer de gegevens zich op servers in de VS bevinden zonder dat er sprake is van rechtstreekse vennootschapsrechtelijke of contractuele banden kunnen vorderingsbevoegdheden worden uitgeoefend. De uitspraak van het HvJEU verandert hieraan niets.

Bewerkersovereenkomst

Het is dus van belang om als organisatie goed te inventariseren, welke partijen voor uw organisatie persoonsgegevens verwerken. Vervolgens dient u goede schriftelijke afspraken te maken, bijvoorbeeld middels een bewerkersovereenkomst. In de afspraken met uw leverancier kunt u afspraken maken over boeterisico’s.

Mocht u meer willen weten over dit onderwerp, neem dan vrijblijvend contact met ons op.