Overzicht Actueel

EU privacytoezichthouders gaan Safe Harbor handhaven

De Artikel 29 Werkgroep, de club van Europese privacytoezichthouders, reageert in een verklaring op de uitspraak van het Europese Hof van Justitie in de zaak Schrems. “Een mijlpaal” noemt WG 29 het oordeel van het Hof dat Safe Harbor onvoldoende bescherming biedt voor gegevensuitwisseling tussen de VS en EU. Zij roept beide regeringen op te zoeken naar een oplossing die betere waarborgen biedt. Is die er eind januari nog niet? Dan zullen de Europese privacywaakhonden gaan handhaven.

Onvoldoende bescherming tegen de NSA
Europese bedrijven wisselen gegevens uit met Amerikaanse bedrijven onder Safe Harbor. Dit verdrag geeft principes voor de omgang met persoonsgegevens. Deze principes zijn bindend voor bedrijven die zich hier vrijwillig aan committeren en zich overeenkomstig daarmee laten registreren. “Onvoldoende”, zegt het Hof in haar uitspraak. Safe Harbor richt zich op bedrijven. De regering (de NSA) is niet aan deze principes gebonden. Als de Amerikaanse overheid dus inzage wil in de gegevens van Europese burgers moeten de Safe Harbor bedrijven wel meewerken. De WG 29 vindt deze overweging over de massale en willekeurige surveillance een cruciale bepaling: “Als overheden de macht hebben om inzage in gegevens te verkrijgen die verdergaat dan noodzakelijk in een democratische samenleving, dan zijn dit geen veilige havens voor data.”

Vanaf januari handhaving
Uit de uitspraak vloeit voort dat iedere gegevensuitwisseling die nog plaatsvindt onder Safe Harbor illegaal is stelt WG 29: “In ieder geval zijn de gegevensuitwisselingen die plaatsvinden onder Safe Harbor na de beslissing van het hof onwettig.” Als er in januari nog geen overeenkomst is over gegevensuitwisseling is met de VS, zegt WG 29 te gaan handhaven om verwerkingen onder Safe Harbor te stoppen.

Impasse
Bedrijven die  gebruikmaken van Amerikaanse counterparts kunnen na Safe Harbor nog gegevens uitwisselen als de consument daar a) toestemming voor geeft of als zij b) een EU model overeenkomst sluiten met een Amerikaanse organisatie. Dat is in beide gevallen makkelijker gezegd dan gedaan. Nederlandse bedrijven maken gebruik van Amerikaanse grote dienstverleners voor cloud- een Saasdiensten, social media, CRM etc. De vraag is of deze bedrijven hun voorwaarden aanpassen of aparte contractuele afspraken maken met individuele organisaties. In wezen zijn zij nog altijd gebonden aan Amerikaanse wetgeving en de Freedom Act, die de regering toestaat in het kader van antiterrorisme gegevens van EU burgers in te zien.