Je hoort in de wandelgangen, bij de koffieautomaat en in het nieuws veel over Safe Harbor. Maar wat is Safe Harbor en wat zijn de consequenties van het wegvallen van Safe Harbor? En wist u bijvoorbeeld dat uw organisatie geldelijke sancties kan verwachten van toezichthouder als uw organisatie data doorgeeft aan organisaties in de Verenigde Staten en uw organisatie niet voldoet aan de wet? U denkt wellicht dat het bovenstaande niet voor uw organisatie geldt, maar steeds meer organisaties werken in de ‘cloud’. Deze ‘cloud’ staat veelal in de Verenigde Staten! De vraag rijst of de soep zo heet gegeten wordt als hij door de EU wordt opgediend.
Doorgifte van persoonsgegevens aan derde landen
Om het belang en het kader van Safe Harbor beter voor ogen te krijgen, is het van belang eerst te kijken naar de (Nederlandse) wetgeving ten aanzien van de doorgifte van persoonsgegevens aan derde landen. Derde landen zijn landen buiten Europa. De Wet bescherming persoonsgegevens (hierna: Wbp) bepaalt in artikel 76 lid 1 dat de doorgifte van persoonsgegevens aan derde landen in beginsel verboden is. Dit is anders als het een land betreft dat valt binnen de Europese Economische Ruimte (zie lid 2). Doorgifte van persoonsgegevens buiten Europa mag wel onder de voorwaarde dat een land een passend beschermingsniveau waarborgt.
Ingevolge de Memorie van Toelichting van de Wbp geldt artikel 76 Wbp voor zowel de verantwoordelijke als ook voor de bewerker.2 De beoordeling of er sprake is van een passend beschermingsniveau ligt in beginsel bij de verantwoordelijke. Passend beschermingsniveau betekent dat aan alle vereisten zoals deze zijn neergelegd in de Wbp wordt voldaan (dus ook de mogelijkheid voor een betrokkene om verschillende rechten uit te oefenen etc.).3 In de praktijk betekent dit
ook dat alleen encryptie van persoonsgegevens onvoldoende is om aan de regelgeving te voldoen. De beveiliging van (persoons) gegevens is een onderdeel van het geheel ten aanzien van een passend beschermingsniveau. Encryptie is overigens wel relevant ten aanzien van bijvoorbeeld de Meldplicht Datalekken. Uit het vonnis met betrekking tot DigiNotar.
Uitzonderingen met betrekking tot doorgifte van persoonsgegevens
- De betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven;
- De doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;
- De doorgifte noodzakelijk is voor de sluiting of uitvoering van een in het belang van de betrokkene tussen de verantwoordelijke en een derde gesloten of te sluiten overeenkomst;
- De doorgifte noodzakelijk is vanwege een zwaarwegend algemeen belang, of voor de vaststelling, de uitvoering of de verdediging in rechte van enig recht;
- De doorgifte noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene, of
- De doorgifte geschiedt vanuit een register dat bij wettelijk voorschrift is ingesteld en dat door een ieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan de wettelijke voorwaarden voor raadpleging;
- Gebruik wordt gemaakt van een modelcontract als bedoeld in artikel 26, vierde lid, van richtlijn nr. 95/46/EG van het Europees Parlement en de Raad van de Europese Unie van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
Blijkt dat het wel noodzakelijk is om ook de werking van de beveiliging te toetsen. De Wbp formuleert tevens een aantal uitzonderingen op het uitgangspunt dat de doorgifte van persoonsgegevens aan derde landen verboden is. Samengevat komt het erop neer dat de doorgifte van persoonsgegevens wel mag indien er sprake is van de uitzonderingen die genoemd staan in artikel 77 Wbp (zie kader).
De Memorie van Toelichting van de Wbp geeft een nadere uitleg van deze uitzonderingen. Wanneer uw organisatie denkt dat de doorgifte van persoonsgegevens kan vallen onder deze uitzonderingen, dan verdient het aanbeveling deze Memorie van Toelichting nader te bestuderen. Naast bovenstaande uitzonderingen dient tevens voldaan te worden aan de eisen die voor de verwerking van persoonsgegevens in Nederland gelden. Zo wordt een passend beschermingsniveau
geboden.
Het doorvoeren van persoonsgegevens is niet verboden. De Wbp spreekt namelijk van de doorgifte van persoonsgegevens. Het is echter van belang een onderscheid te maken tussen de doorvoer en de doorgifte van persoonsgegevens. In zijn algemeenheid kan het doorvoeren van persoonsgegevens worden gezien als een technisch geheel. De persoonsgegevens gaan van a naar b zonder dat er iets met de persoonsgegevens gebeurt. Met andere woorden er vindt geen verwerking van persoonsgegevens plaats. Persoonsgegevens worden bijvoorbeeld ook niet opgeslagen! Aan de andere kant kan doorgifte van persoonsgegevens worden gezien als het verstrekken van de persoonsgegevens. Persoonsgegevens worden wel verwerkt. De persoonsgegevens worden dan bijvoorbeeld wel opgeslagen. In de praktijk is de scheidingslijn tussen het doorvoeren en de doorgifte van persoonsgegevens niet altijd even duidelijk. Zekerheidshalve zou het dan verstandig zijn om de transactie te kwalificeren als doorgifte van persoonsgegevens. De doorgifte van persoonsgegevens is aan meer regels gebonden en lijkt daarmee misschien onaantrekkelijk. Door te kiezen voor doorgifte voorkomt de organisatie echter dat het in strijd handelt met de Wbp en verlaagt daarmee de kans op sancties waardoor integriteitsrisico’s van de organisatie worden verlaagd.
Praktisch gezien, is het van belang om zeker met de komende Europese Privacy Verordening (hierna: Verordening) in het vooruitzicht – op schrift (digitaal) de
overwegingen en de (sub)conclusies te beschrijven waarom uw organisatie van mening is dat één van bovenstaande uitzonderingen van toepassing is. Eveneens
is het van belang om te omschrijven hoe de organisatie voldoet aan het bieden van een passend beschermingsniveau (dus de andere vereisten uit de Wbp, zoals doelbinding etc.). Zo’n beschrijving is niets zonder dat uw organisatie (als verantwoordelijke) ook duidelijk omschrijft hoe de werking van het passende beschermingsniveau systematisch, adequaat en met regelmaat wordt gecontroleerd. Deze controle dient u dan ook uit te voeren. Uiteraard dienen de conclusies van deze controles ook op schrift gesteld te worden.
Het op schrift stellen heeft verschillende functies. Enerzijds dwingt het organisaties tot het kritisch en adequaat beoordelen van haar handelswijze ten aanzien van de persoonsgegevens. Anderzijds wordt aantoonbaar voor de toezichthouder dat de organisatie niet zomaar iets doet, maar dat de organisatie weloverwogen beslissingen maakt. Wanneer uw organisatie nalaat de eisen van de Wbp na te leven, dan kan de toezichthouder niet anders dan tot de conclusie komen dat uw organisatie niet voldoet aan de eisen die de Wbp oplegt. Wanneer uw organisatie inhoudelijk beoordeeld of er sprake is van doorgifte (1) en laat zien dat er ook naar andere aspecten die voortvloeien uit de Wbp is gekeken (2) en een en ander duidelijk overweegt (3), kan er een inhoudelijke dialoog met de toezichthouder
ontstaan; waarmee uw organisatie sancties kan voorkomen.
(Beschikking 2000/520/eg)
Wanneer we naar de bovenstaande drie eisen voor de doorgifte van persoonsgegevens kijken, dan kan niet anders gezegd worden dan dat het een behoorlijke klus is om dit als organisatie (als verantwoordelijke in de zin van de Wbp zijnde) voor elkaar te krijgen. De Verenigde Staten (hierna: VS) is voor Nederland een belangrijke handelspartner. In beginsel is de doorgifte van persoonsgegevens naar VS dus volgens de Wbp verboden. Dit is slechts anders als voldaan wordt aan
een complex van andere regels. Wanneer persoonsgegevens niet snel en gemakkelijk uitgewisseld (dus ook doorgegeven!) kunnen worden aan organisaties in de VS, dan wordt de mogelijkheid van zaken doen met bedrijven in de VS belemmerd. Om deze belemmeringen te beperken, was nu juist Safe Harbor opgesteld.9
Door het Safe Harbor besluit was het mogelijk – onder bepaalde voorwaarden (de Safe Harbor Privacy Principles) – om toch de doorgifte van persoonsgegevens naar de VS te laten plaatsvinden zonder dat voldaan moest worden aan alle eisen die de Wbp stelt. Door dit besluit werd het handelsverkeer minder belemmerd.
Safe Harbor maakt gebruik van een zelf certificering systeem. Een organisatie kan zelf verklaren dat de organisatie zich houdt aan de Safe Harbor Privacy Principles.10 Wanneer een organisatie dit doet, wordt deze op een openbare lijst geplaatst. Organisaties in bijvoorbeeld Nederland kunnen dan zien met welke partijen de doorgifte van persoonsgegevens rechtmatig is geregeld. Daarbij geldt dat niet alle sectoren gebruik kunnen maken van deze zelf certificering: financiële dienstverlening, transport en telecommunicatie sector zijn uitgesloten.
Doordat Safe Harbor een zelf certificering systeem is, is er reeds al een langere tijd discussie over de houdbaarheid van Safe Harbor. De discussie over de houdbaarheid van Safe Harbor is op 6 oktober 2015 ten einde gekomen. Het Europese Hof van Justitie (hierna: Europese Hof) heeft in zijn uitspraak bepaald dat Safe Harbor niet (langer) voldoende is om de doorgifte van persoonsgegevens aan VS te verantwoorden. De Europese Unie (en dus ook Nederland) mag een rechterlijke uitspraak van het Europese Hof niet naast zich neerleggen. De Europese Unie en de VS zullen daarom met een alternatief voor Safe Harbor moeten komen, zodat de handelsbelangen niet worden belemmerd en daardoor beperkt. In het kader staat een samenvatting van de case die geleid heeft tot het ongeldig verklaren van Safe Harbor door het Europees Hof.
Uitspraak safe harbor 6 oktober 2015
Doordat er inmiddels veel geschreven is over de uitspraak van het Europese Hof volgt een korte opsomming van relevante overwegingen (daarmee niet volledig) van het Europese Hof.
- Schrems (destijds student Rechtsgeleerdheid in Oostenrijk) vroeg de toezichthouder in Ierland om op basis van diens wettelijke bevoegdheden te verbieden de persoonsgegevens van Schrems naar de Verenigde Staten door te geven.Facebook Ireland Ltd. gaf namelijk de persoonsgegevens van haar gebruikers door aan de Verenigde Staten en bewaarde deze op servers in de VS. Schrems was van mening dat er sprake was van onvoldoende bescherming van zijn gegevens. Dit beeld werd versterkt door de recente onthullingen van Snowden en de National Security Agency (hierna: NSA);
- De Ierse toezichthouder weigerde bovenstaande klacht te onderzoeken.
- Het Europees Hof oordeelt dat nationale toezichthouders bevoegd zijn om in dergelijke situaties een onderzoek naar de feiten (door Schrems aangevoerd) te verrichten, wanneer een persoon aanvoert dat het geldende recht en de praktijk in dat land geen waarborg voor een passend beschermingsniveau bieden; Een van de door het Europese Hof gestelde problemen is dat de VS – zonder controle van bijvoorbeeld een rechter – gegevens ongelimiteerd mag opvragen. Daarmee wordt niet voldaan het proportionaliteitsvereiste en is er geen effectieve rechtsbescherming;
- Op 27 november 2013 heeft de Commissie aan het Europees parlement en de Raad een mededeling gedaan; getiteld “Herstel van vertrouwen in de gegevensstromen tussen de EU en de VS”.11 De Commissie was duidelijk geworden dat de VS verregaande surveillanceprogramma’s tot zijn beschikking had. De Commissie heeft daarin zorgen geuit over o.a. de omvang,evenredigheid, aard en declaratoire karakter van het verzamelen van (persoons)gegevens;
- Met betrekking tot de zelf certificering van organisaties kwam de Commissie tot inzicht dat:
- Organisaties de bijbehorende Safe Harbor Privacy Principles niet naleefden;
- Er geen effectieve controle was op de uitvoering van de Safe Harbor Privacy Principles;
- Amerikaanse ondernemingen verplicht zijn gegevens aan de Amerikaanse inlichtingendienst te vertrekken (op grond van bijvoorbeeld de HomelandDefence Act);
- Betrokkene niet in de gelegenheid waren gesteld om hun (privacy)rechtenuit te oefenen.
Op basis van verschillende argumenten (zie kader), besloot het Europese Hof dat er inderdaad geen passend beschermingsniveau door Safe Harbor wordt geboden. Het Europese Hof verklaarde daarom dat de beschikking 2000/520 (Safe Harbor) ongeldig is. Dat betekent dat alle persoonsgegevens die op grond van Safe Harbor aan de VS zijn doorgegeven niet had mogen plaatsvinden en dat dit in de toekomst – met als grondslag Safe Harbor – ook niet meer mag. Organisaties die persoonsgegevens doorgeven aan de VS moeten een alternatief zoeken. Dit kan dus ook voor u gelden als uw organisatie bijvoorbeeld in de ‘cloud’ werkt. De vraag rijst dan natuurlijk snel: hoe moeten organisaties die persoonsgegevens aan de VS doorgeven of doorgegeven hebben snel en adequaat optreden?
Inmiddels heeft de Europese Commissie op 6 november jl. een nader advies uitgebracht ten aanzien van de doorgifte van persoonsgegevens nnaar de VS.12 De Europese Commissie herhaalt verschillende mogelijkheden (in section 2). Deze mogelijkheden vinden we ook terug in de huidige Wbp. Daarnaast wijst de Europese Commissie nadrukkelijk op de aanwezigheid van Europese Modelovereenkomsten 13 en Binding Corporate Rules. Binding Corporate Rules zijn privacyregels vastgesteld door bedrijven of organisaties zelf en goedgekeurd door de betreffende toezichthouder(s).
De praktijk is vaak een stuk weerbarstiger; een nieuwe overeenkomst sluiten is vaak een utopie 14 en het opstellen en laten goedkeuren van Binding Corporate Rules is doorgaans een meerjarig proces. Bovendien kan gesteld worden dat de organisatie een weliswaar rechtmatige oplossing heeft gecreëerd maar dat deze overeenkomst of Binding Corporate Rules geen enkele bescherming biedt tegen de Amerikaanse overheid. Om dat te bereiken is immers een wetswijziging nodig waardoor de Amerikaanse overheid o.a. proportioneel en na toetsing van een onafhankelijke derde partij persoonsgegevens kan opvragen en ontvangen. Op basis van de Snowden zaak kan encryptie hulp bieden als het gaat om het beschermen van persoonsgegevens. Ook als het gaat om bescherming tegen een ongewenste inzage door de Amerikaanse overheid op basis van de Patriot Act
En nu?
Voor nu is het verstandig om te inventariseren of en welke (persoons)gegevens uw organisatie bedoeld of onbedoeld doorgeeft aan de VS. Daarna dient onderzocht te worden of uw organisatie persoonsgegevens doorgeeft op basis van Safe Harbor of op basis van de Wbp. Indien mogelijk is het verstandig in overleg te gaan met uw Amerikaanse wederpartij om te onderzoeken of het afsluiten van een overeenkomst een optie is. Met het afsluiten van een (standaard EU) overeenkomst is het belangrijk dat uw organisatie wel denkt aan een passend beschermingsniveau. Encryptie van de (persoons)gegevens is daarin een belangrijk aspect. Met andere woorden uw organisatie doet er goed aan een risicoanalyse met mitigerende maatregelen te schrijven.
Om aan de toezichthouder te laten zien dat u privacy serieus neemt en zo adequaat mogelijk op de veranderende situatie participeert, is het verstandig een en ander vast te leggen en te (laten) ondertekenen. Daarmee is voor uw organisatie en de toezichthouder duidelijk waarom welke stappen genomen zijn en tot
welke conclusies dat heeft geleid. Door hier zorgvuldig mee om te gaan, is uw organisatie ook beter in staat integriteitsrisico’s in te schatten. Daarnaast zijn deze stappen ook noodzakelijk zodra de nieuwe Verordening van kracht wordt! Dit is dus direct een mooie eerste stap!
Het moge duidelijk zijn dat Europa en de VS inmiddels druk onderhandelen over hoe de ongeldigheid van Safe Harbor kan worden opgelost. De Europese Commissie heeft aangegeven dat het redelijk is dat toezichthouders pas begin 2016 daadwerkelijk gaan handhaven wanneer er geen oplossing gevonden is voor de ongeldigheid van Safe Harbor. Immers, de doorgifte van persoonsgegevens naar de VS mag niet als niet voldaan wordt aan de eisen van de Wbp. De Nederlandse toezichthouder heeft aangegeven pas te gaan handhaven als er eind januari 2016 geen oplossing is gevonden.
Conclusie
In beginsel is de doorgifte van persoonsgegevens buiten Europa verboden. Onder strikte voorwaarden is de doorgifte van persoonsgegevens buiten Europa wel
mogelijk. Kort gezegd, is dit alleen toegestaan als er een passend beschermingsniveau wordt geboden. Encryptie van persoonsgegevens is een belangrijk onderdeel van het bieden van een passend beschermingsniveau. Als gevolg van de handelsbelangen met de VS was er een “Safe Harbor” besluit opgesteld.
Wanneer een organisatie in de VS voldeed aan Safe Harbor Privacy Principles dan was de doorgifte van persoonsgegevens toegestaan. Op 6 november jl. heeft het Europese Hof van Justitie bepaald dat het “Safe Harbor” besluit ongeldig is en dat de doorgifte van persoonsgegevens op basis daarvan niet langer is toegestaan.
De Europese Commissie stelt voor dat bedrijven en organisaties standaard Europese Modelovereenkomsten gaan afsluiten. In de praktijk is dat echter niet altijd mogelijk. Een schriftelijke risicoanalyse, en indien mogelijk een overeenkomst, encryptie en (schriftelijk) overleg met organisaties in de VS kunnen de integriteitsrisico’s voor uw organisatie mogelijk beperken. Uw organisatie heeft dan in ieder geval laten zien dat de Safe Harbor problematiek wordt erkend en dat de organisatie zo goed als mogelijk om gaat met deze situatie. Daarnaast is het afwachten of de onderhandelingen tussen Europa en de VS met betrekking tot dit onderwerp snel vruchten afwerpt. Hoe heet de soep eind januari 2016 uiteindelijk door organisaties gegeten wordt, blijft vooralsnog de vraag.