Opslaan van persoonsgegevens in de VS geen veilig haven (Safe Harbor) meer!
Begin oktober jl. heeft het Europese Hof van Justitie een belangrijke uitspraak gedaan inzake het opslaan van persoonsgegevens in een buitenlandse cloud.
Safe Harbor verdrag
In de EU bestaan strenge regels voor het verwerken van persoonsgegevens. Bedrijven die binnen de EU persoonsgegevens verwerken, dienen zich aan de wet- en regelgeving van het betreffende land te houden.
Echter, soms maken bedrijven gebruik van diensten van derden bij het verwerken van persoonsgegevens, zoals het opslaan van persoonsgegevens in een cloud. Die bedrijven hoeven niet per se in Nederland of de EU te zijn gevestigd, maar kunnen bijvoorbeeld ook in de VS zijn gevestigd (een zogenoemde “derde land”).
Indien persoonsgegevens in een cloud in een derde land worden opgeslagen, vereist de Europese privacywetgeving dat dat bedrijf een passend beschermingsniveau moet bieden.
Omdat in de VS geen specifieke bescherming bestaat voor persoonsgegevens, kon derhalve niet zomaar door een Nederlands bedrijf persoonsgegevens worden opgeslagen in een cloud die zich in de VS bevond. Om dat probleem op te lossen, hadden de EU en de VS een verdrag gesloten, namelijk het Safe Harbor verdrag. Van de bedrijven en organisaties die zich hadden aangesloten bij het Safe Harbor verdrag (Amerikaanse bedrijven konden van de US Department of Commerce een certificaat ontvangen wanneer zij voldeden aan een aantal voorwaarden op het gebied van bescherming van persoonsgegevens), werd geacht dat zij een passend beschermingsniveau boden ten aanzien van de verwerking van persoonsgegevens.
Nederlandse bedrijven konden derhalve gebruik maken van de diensten van de grote providers van public cloud diensten, zoals Amazon, Google en Microsoft.
Eind goed al goed zou je denken. Maar ……
Oordeel Europese Hof van Justitie
Een Oostenrijkse man was het niet eens met het verdrag gesloten tussen de EU en de VS en stapte naar het Europese Hof van Justitie.
Het Europese Hof van Justitie oordeelde dat het Safe Harbor verdrag ongeldig is. De reden voor die beslissing was gelegen in het feit dat in het verdrag was opgenomen dat het nationale recht van de VS voorrang had boven het verdrag, wanneer de nationale veiligheid, het algemeen belang of de rechtshandhaving van de VS dat vereiste. Daarmee kon derhalve geen passend beschermingsniveau (meer) worden geboden, aldus het Europese Hof van Justitie.
Consequenties oordeel Europese Hof van Justitie
Uitgangspunt is nu dat Amerikaanse bedrijven die public cloud diensten aanbieden en aangesloten zijn bij het Safe Harbor verdrag, nu niet meer automatisch een passend beschermingsniveau bieden.
Indien een bedrijf persoonsgegevens heeft opgeslagen in een cloud in de VS, dan dient het bedrijf te onderzoeken en ervoor te zorgen dat het bedrijf dat de cloud aanbiedt zich houdt aan de Europese privacywetgeving. Het College Bescherming Persoonsgegevens kan onderzoek uitvoeren naar het naleven van de Wet Bescherming Persoonsgegevens door bedrijven die gebruik maken van cloud diensten van Amerikaanse bedrijven, en eventueel bij niet-naleving boetes opleggen.
De EU en de VS zijn nu druk bezig om een oplossing te vinden.
Wat kunnen bedrijven tot die tijd doen?
De opslag van persoonsgegevens in een cloud die zich in de VS bevindt is toegestaan, als de persoon wiens gegevens dit betreft expliciet toestemming heeft gegeven voor de opslag van die gegevens in de VS;
Er kan gebruik worden gemaakt van de Europese dochterbedrijven van Amerikaanse clouddiensten. De data blijft dan in Europa en dus vallen deze datacenters (en de data) onder de Europese wetgeving. (hierover wordt thans ook geprocedeerd om te beoordelen of dit ook tot een passend beschermingsniveau leidt)
Er kan gebruik worden gemaakt van modelcontracten die via de website van de Europese Commissie te raadplegen zijn. Deze modelcontracten dienen door partijen ongewijzigd te worden gesloten. Het is echter de vraag of een Amerikaans bedrijf akkoord gaat met het voorgelegde modelcontract.
Internationale bedrijven die op grote schaal persoonsgegevens doorsturen aan derde landen kunnen Binding Corporate Rules opstellen. Als deze bindende gedragscodes binnen concernverband in overeenstemming zijn met de Europese privacywetgeving kan het passende beschermingsniveau gewaarborgd worden.
Vragen over cloud, neem dan contact op met uw huisadvocaat.