201510.07
0

Privacy: safe harbor is niet meer

Doorgifte van persoonsgegevens naar landen buiten de EU die geen passend beschermingsniveau hebben, is in principe niet toegestaan. De Verenigde Staten is zo’n land, maar daar gold lange tijd een uitzondering voor bedrijven die zich hadden aangesloten bij het safe harbor protocol. Aan dit soort bedrijven konden dan persoonsgegevens worden doorgegeven als ware het binnen de EU: een ‘veilige haven’ dus. Het Europese Hof heeft nu echter bepaald dat deze ‘s safe harbor’ niet meer is dan een wassen neus, omdat die safe harbor bedrijven toch toegang geven tot Europese gegevens aan de Amerikaanse overheid.

Facebook

De uitspraak van het Europese Hof van Justitie is een gevolg van de zaak die is aangespannen tegen Facebook. Een Oostenrijkse activist beklaagde zich dat Facebook zijn gegevens doorgeeft aan de Amerikaanse veiligheidsorganisatie NSA. Het Hof oordeelt nu dat daardoor geen sprake is van een adequaat beschermingsniveau, ondanks dat Facebook zich heeft aangesloten bij het safe harbor protocol. Het Hof haalt een streep door het hele safe harbor protocol.

Doorgifte

Wat betekent dit nu voor de rechtspraktijk? Veel bedrijven en (hun) ICT dienstverleners vertrouwen op het safe harbor protocol om hun doorgifte naar de VS te legitimeren. Nu dat niet meer bestaat, valt die rechtvaardiging ineens weg. Dat kan gerepareerd worden, door gebruik te maken van één van de andere rechtvaardigingsgronden, zoals expliciete toestemming van de betrokkene of dor gebruik te maken van de modelcontracten voor doorgifte naar landen zonder passend beschermingsniveau.

Wet meldplicht datalekken
Wie die alternatieve rechtvaardigingsgrond niet al als back-up gereed had, en toch persoonsgegevens doorgeeft naar de Verenigde Staten (ook al gaat dat maar om opslag op een zich daar bevindende server) voldoet op dit moment niet aan een belangrijk vereiste van de Wet Bescherming Persoonsgegevens. Dat betekent dat sprake is van een datalek als bedoeld in de Wet Meldplicht Datalekken die op 1 januari 2016 in werking treedt. Op grond van die wet moet een datalek gemeld worden bij betrokkene en bij de Autoriteit Persoonsgegevens, zoals het College Bescherming persoonsgegevens dan heet. Bij overtreding van dat voorschrift kan en boete worden opgelegd van maximaal € 810.000.

Actie

Dat betekent dat bedrijven of instellingen die gebruik maken van diensten van Amerikaanse aanbieders nog ongeveer twee maanden hebben om een oplossing te implementeren. En dat geldt ook voor onderaannemers. Weet u waar de data van uw bedrijf is opgeslagen?