Innovatieblog -Innovation Blog - Beveiliging & Privacy

Sinds de uitspraak met betrekking tot Safe Harbor van het Europese Hof leven er veel vragen over de uitwisseling van persoonsgegevens met de Verendigde Staten. Walter van Holst – Legal consultant bij Mitopics – presenteerde de achtergronden van Safe Harbor op het privacy seminar van SURF eind 2015. Nu lijkt er overeenstemming over nieuwe afspraken tussen de EU en de Verenigde Staten onder de naam Privacy Shield. Aanleiding om aan Walter te vragen om de zaken nog eens op een rijtje te zetten en de actuele stand van zaken weer te geven.

Wat was Safe Harbor?

Safe Harbor was een zogenaamd adequaatheidsbesluit van de Europese Commissie om op basis van een “executive agreement” (dus geen verdrag) met de Verenigde Staten onder de voorwaarden van het Safe Harbor-regime de verwerking van Europese persoonsgegevens in de Verenigde Staten toe te staan als dit door bedrijven werd gedaan die zich aan zelfregulering onderwierpen en op die wijze waarborgen schiepen voor de verwerking van persoonsgegevens. Dit adequaatheidsbesluit is in 2000 genomen.

Waarom een ‘adequaatheidsbesluit’?

Bij de totstandkoming van de huidige Richtlijn bescherming persoonsgegevens (95/46/EG) heeft de Europese wetgever willen voorkomen dat door verwerking van persoonsgegevens buiten de Europese Unie de Europese regels ontweken zouden worden. Dit is gedaan door verwerking buiten de Europese Economische Ruimte in beginsel te verbieden. De Richtlijn bescherming persoonsgegevens verschaft daarbij de Europese Commissie de bevoegdheid om door middel van een adequaatheidsbesluit landen buiten de Europese Economische Ruimte te erkennen als landen waar het niveau van bescherming van persoonsgegevens voldoende adequaat is om als gelijkwaardig aan dat binnen de Europese Unie te gelden. Een dergelijk adequaatheidsbesluit stelt bedrijven uit zodanig erkende landen in staat om op het terrein van persoonsgegevens dezelfde handelingsvrijheid in de Europese Unie te hebben als bedrijven uit de Europese Unie, hetgeen onder meer betekent dat ook in die landen Europese persoonsgegevens verwerkt mogen worden.

Waarom zelfregulering als voorwaarde voor het Safe Harbor-regime?

De Verenigde Staten is één van de weinige geïndustrialiseerde landen zonder een breed wettelijk kader voor de bescherming van persoonsgegevens. Er is wel sectorspecifieke wetgeving (met name voor de gezondheidszorg, financiële sector en telecommunicatie), die soms zelfs verder gaat dan wat wij in Europa gewoon zijn, maar een algemeen kader dat vergelijkbaar is met onze Richtlijn bescherming persoonsgegevens is er niet.

Wat is nu het probleem met deze zelfregulering?

Het Hof van Justitie van de Europese Unie heeft beslist dat deze zelfregulering geen bescherming biedt tegen surveillance door de overheid van de Verenigde Staten. Surveillance die blijkens de onthullingen door Edward Snowden in 2013 veel verder ging dan velen dachten. En het Hof van Justitie zegt over massasurveillance het volgende:
“[…] een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie [moet] worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven”.

Maar de Verenigde Staten hebben toch het Vierde Amendement en een rijke geschiedenis op het gebied van constitutionele waarborgen voor burgerrechten?

Op grond van vaste jurisprudentie hebben niet-ingezetenen van de Verenigde Staten die geen staatsburger zijn geen recht op bescherming door het Vierde Amendement van de Grondwet van de Verenigde Staten. Daarnaast heeft het Amerikaanse Hooggerechtshof in 2013 een zaak die was aangespannen door Amnesty International USA beslist dat wie (geheime) surveillance aan wil vechten eerst zal moeten aantonen schade te hebben geleden door die surveillance en daarmee een procesbelang te hebben.

Waarom vond het Hof van Justitie van de Europese Unie het Safe Harbor-regime tekortschieten?

Het Hof vond dat dit regime geen beperkingen oplegde aan de autoriteiten van de Verenigde Staten om inzage te vorderen in persoonsgegevens die onder Safe Harbor verwerkt worden in de Verenigde Staten:
“97 – Er dient echter op te worden gewezen dat de Commissie in beschikking 2000/520 niet heeft vermeld dat de Verenigde Staten daadwerkelijk op grond van hun nationale wetgeving of hun internationale verbintenissen „waarborgen bieden” voor een passend beschermingsniveau.
“98 – Bijgevolg, en zonder dat de veilige havenbeginselen op hun inhoud hoeven te worden onderzocht, moet de conclusie luiden dat artikel 1 van die beschikking niet de vereisten van artikel 25, lid 6, van richtlijn 95/46, gelezen in samenhang met het Handvest [van de Grondrechten van de Europese Unie], in acht neemt, zodat dit ongeldig is.”

Wat betekent dit voor onderwijsinstellingen die extern (persoons)gegevens laten verwerken?

In de eerste plaats dat zij een beeld moeten hebben welke (onderaannemers van) leveranciers dit in de Verenigde Staten doen en onder welke voorwaarden. Er zijn andere routes die formeel niet ‘aangetast’ zijn door de uitspraak in de zaak-Schrems, de meest voor de hand liggend zijn de Binding Corporate Rules (BCR) en de standaardclausules van de Europese Commissie. Voor onderwijsinstellingen is het toepasselijk laten zijn van de standaardclausules van de Europese Commissie op verwerkingen die in de Verenigde Staten plaatsvinden waarschijnlijk de meest gepaste, zij het voorlopige, oplossing.
In de tweede plaats valt het aan te bevelen om transitiescenario’s te ontwikkelen voor het geval ook de standaardclausules en BCRs nietig worden verklaard. Vriend en vijand zijn het er over eens dat ook deze kwetsbaar zijn voor nietigverklaring door het Hof van Justitie van de Europese Unie aangezien de redenering die op Safe Harbor is toegepast ook op deze regelingen toegepast kan worden.

Nu Safe Harbor nietig is verklaard, zouden toezichthouders kunnen gaan optreden, hoe staan zij hier in?

De Artikel 29 Werkgroep, het samenwerkingsorgaan van de Europese privacy toezichthouders heeft al in oktober 2015 gezegd niet te zullen gaan handhaven voor 2 februari 2016. Op 2 februari 2016 hebben ze naar aanleiding van het “Privacy Shield”-akkoord (wat een opvolger van Safe Harbor zou moeten worden) gezegd deze deadline nog minstens een maand uit te stellen.

Wat is Privacy Shield?

Privacy Shield is de naam voor de beoogde opvolger van Safe Harbor. Al voor de Schrems-zaak waren de Europese Commissie en de Verenigde Staten in onderhandeling over een opvolger van Safe Harbor. Een concept hiervan is op 2 februari 2016 overeengekomen en zal ter beoordeling worden voorgelegd aan de Artikel 29 Werkgroep en de Raad van Ministers.

Wat verandert Privacy Shield?

De details zijn nog onbekend, maar op 2 februari 2016 heeft Eurocommissaris Jourová in het Europees Parlement een aantal elementen uit de doeken gedaan. De belangrijkste daarvan zijn de invoering van een ombudsman in de Verenigde Staten voor klachten van Europeanen en strenge verplichtingen voor Amerikaanse bedrijven die Europese persoonsgegevens verwerken.

Kunnen we op Privacy Shield vertrouwen?

De tijd zal het leren, maar de voortekenen zijn niet erg goed. Het onderliggende probleem, de massasurveillance wordt mogelijk niet opgelost en aanpassing van de Europese verdragen waar dit mee in strijd is, is evenmin aan de orde. Na de uitspraak in de zaak-Schrems kan iedere privacy toezichthouder in de Europese Unie (dit zijn er 28 op het niveau van de lidstaten, twaalf voor de Duitse deelstaten en één voor de Europese instituties) zelfstandig tot de conclusie komen dat Privacy Shield niet adequaat is. Dit al dan niet op basis van een klacht van een burger.