Safe Harbour ongeldig verklaard, wat nu?

Er is de afgelopen dagen veel te doen geweest over de uitspraak van het Europese Hof van Justitie, waarin Safe Harbour opzij wordt gezet. Wat betekent dit nu in de praktijk voor organisaties?

Wat is Safe Harbour?

Safe Harbour is een beschikking tussen de VS en de EU over de bescherming van persoonsgegevens. Op basis van artikel 76-78 van de Wet bescherming persoonsgegevens (WBP), die gebaseerd is op de Europese privacyrichtlijn, is het in principe verboden om persoonsgegevens buiten de EU te verwerken, tenzij er een passend beschermingsniveau wordt geboden.

Omdat Amerika geen passend beschermingsniveau kent op basis van de eigen wetgeving is Safe Harbour in het leven geroepen. Amerikaanse bedrijven konden zich hierbij aansluiten, waarna ze wél persoonsgegevens van EU-burgers mochten verwerken. Safe Harbour zou een passend beschermingsniveau garanderen voor persoonsgegevens afkomstig uit Europa.

Waarom is Safe Harbour ongeldig verklaard?

De Oostenrijker Schrems heeft bij het Ierse college bescherming persoonsgegevens (CBP) een klacht ingediend over doorgifte van zijn gegevens door Facebook naar de VS. Hij stelt dat uit de onthullingen van Snowden is gebleken dat de VS geen passend beschermingsniveau biedt.

Het Ierse CBP stelde dat er wel een passend beschermingsniveau is. Als Facebook in de VS Safe Harbour-gecertificeerd is, is er volgens hen sprake van een passend beschermingsniveau en is de doorgifte van persoonsgegevens naar Facebook toegestaan.

Schrems is vervolgens naar de rechter gestapt, waarna de rechter vragen heeft gesteld over Safe Harbour aan het Europese Hof van Justitie. Het Europese Hof van Justitie heeft de Safe Harbour-beschikking uiteindelijk ongeldig verklaard, omdat deze geen passend beschermingsniveau zou bieden.

Wat zijn de gevolgen?

Het eerste directe gevolg van het ongeldig verklaren van de Safe Harbour-beschikking is dat bedrijven die persoonsgegevens in de VS verwerken niet meer in overeenstemming handelen met de WBP. Daarnaast wordt per 1 januari 2016 de Meldplicht datalekken van kracht. Bedrijven worden daarmee niet alleen verplicht om datalekken te melden, ook de boetebevoegdheid van het CBP wordt daarmee uitgebreid. Deze uitbreiding heeft ook betrekking op overtreding van hoofdstuk 11 van de WBP, de doorgifte van persoonsgegevens naar landen buiten de EU. Als een bedrijf persoonsgegevens doorgeeft aan landen buiten de EU zal het dus actie moeten ondernemen.

Wat nu?

De WBP biedt in artikel 77 verschillende opties om toch persoonsgegevens door te mogen geven aan een land buiten de EU:

  • Een van de mogelijkheden is het vragen van toestemming aan de betrokkene. Voor veel organisaties zal dit echter onbegonnen werk zijn.
  • Daarnaast zijn er in artikel 77 WBP een aantal opties genoemd waarbij het noodzakelijk moet zijn dat de gegevens buiten de EU worden verwerkt.
  • In artikel 77 lid 2 WBP zit nog een ‘ventielfunctie’. De Minister van Justitie kan een vergunning verlenen voor de doorgifte naar landen buiten de EU, waarin nadere voorschriften worden gesteld aan de bescherming van persoonsgegevens.
  • Een alternatief voor de vergunning van de minister is het afsluiten van de door de Europese Commissie opgestelde modelcontracten voor de verwerking van persoonsgegevens in landen buiten de EU (artikel 77 lid 1 sub g WBP). Wanneer deze standaardcontracten ongewijzigd worden gesloten, vormen deze de juridische basis voor doorgifte naar landen buiten de EU, zoals de VS.

De Europese Commissie is overigens al lange tijd in onderhandeling met de VS over het aanpassen van de Safe Harbour-afspraken. Door het ongeldig verklaren van Safe Harbour zal dit nu vermoedelijk in een stroomversnelling komen.

De toekomst

De toezichthouders (waaronder het CBP) moeten nu positie gaan innemen over hoe bedrijven in de nieuwe situatie moeten omgaan met persoonsgegevens. Zo vindt er spoedoverleg plaats tussen de Europese privacy-toezichthouders die verenigd zijn in de artikel 29-werkgroep. We houden u op de hoogte van de ontwikkelingen.

Meer artikelen

Bekijk al het nieuws