• Nieuws

Mijlpaal online privacy “Safe Harbor-overeenkomst” tussen EU en VS ongeldig verklaard

06 oktober 2015
Privacy

Vandaag, 6 oktober 2015, heeft het Europees Hof van Justitie de “Safe Harbor-overeenkomst” tussen de VS en de EU ongeldig verklaard (arrest). De VS biedt onvoldoende bescherming voor het doorgeven van persoonsgegevens van EU-burgers naar de VS. Nu de Safe Harbor-regeling van de EU ongeldig is verklaard kan dit grote gevolgen hebben voor internetbedrijven, zoals Facebook.

Europese wetgeving en Safe Harbor

In Europa geldt, op basis van de Europese privacyrichtlijn (Richtlijn 95/46/EG), dat persoonsgegevens vanuit de EU alleen naar landen buiten de EU mogen worden doorgegeven indien dergelijke landen een passend beschermingsniveau bieden. Indien geen sprake is van een passend beschermingsniveau is doorgifte alleen toegestaan op basis van een wettelijke uitzondering of indien een vergunning is afgegeven.

De VS is een land dat in principe geen passend beschermingsniveau biedt en doorgifte naar de VS is daarom niet toegestaan. Omdat deze blokkering niet werkzaam was, heeft de Europese Commissie in een Beschikking uit 2000 geoordeeld dat doorgifte van persoonsgegeven vanuit de EU naar de VS wel zijn toegestaan indien de ondernemingen die deze persoonsgegevens verwerken zich houden aan de zogenoemde “Safe Harbor Principles”. Diverse ondernemingen, zoals Google, Microsoft, Apple en Facebook voldoen aan deze Safe Harbor-regels en bieden dus een passend beschermingsniveau. Persoonsgegevens van Europese burgers mogen dus op basis van de Safe Harbor-regeling naar de diverse ondernemingen in de VS worden doorgegeven.

Aan deze regeling is dus nu een einde gekomen.

Wat er aan vooraf ging –  Schrems vs Facebook

Op 25 juni 2013 heeft de Oostenrijker Maximilian Schrems een klacht ingediend bij de Ierse privacy toezichthouder (Irish Data Protection Commissioner) tegen Facebook Ireland. De persoonsgegevens van de gebruikers van Facebook Ireland worden doorgegeven aan en bewaard door Facebook Inc. in de VS. Gelet op de onthullingen van Snowden over de afluisterpraktijken van de Amerikaanse veiligheidsinstanties en inlichtingendiensten was Schrems van mening dat zijn persoonsgegevens in de VS niet goed beschermd zouden worden. Op basis van Amerikaanse wetgeving zijn Amerikaanse inlichtingen- en veiligheidsdiensten namelijk gerechtigd, in het kader van nationale veiligheid, gegevens op te vragen bij ondernemingen ook al staan deze op de lijst van Safe Harbor. De bescherming die de Safe Harbor-regeling biedt, wordt dan terzijde geschoven. Met deze gang van zaken was Schrems het dus niet eens.

De klacht van Schrems werd in eerste instantie door de Ierse toezichthouder afgewezen. Scherms liet het hier niet bij zitten en ging in beroep bij het Ierse High Court of Justice. Omdat de klacht zag op Europese wetgeving stelde het High Court prejudiciële vragen aan het Hof van Justitie EU.

De advocaat-generaal van het HvJEU constateerde in zijn advies dat de VS op grote schaal persoonsgegevens van EU-burgers verzamelt zonder voldoende bescherming. Tevens stelde de advocaat-generaal dat de nationale toezichthouders ongeacht de Beschikking de bevoegdheid hebben om onafhankelijk onderzoek te doen naar klachten over de mate van bescherming bij overdracht van persoonsgegevens.

Uitspraak Hof van Justitie EU – gevolgen

Het HvJEU heeft het advies van de advocaat-generaal gevolgd en heeft de Safe Harbor-regeling ongeldig verklaard.

Het feit dat de Safe Harbor-overeenkomst nu ongeldig is verklaard heeft grote gevolgen voor Amerikaanse bedrijven die zaken doen in Europa. Zij zullen hun werkwijze moeten aanpassen. De vraag is hoe nu met de gegevensuitwisseling omgegaan moet worden. Amerikaanse belangenorganisaties pleiten voor een redelijke overgangsperiode of een alternatief mechanisme. Het zal er op neer komen dat Amerikaanse ondernemingen die vooralsnog bij Safe Harbor waren aangesloten nu zelf om de tafel zullen moeten gaan en afspraken moeten maken met de privacy toezichthouders om persoonsgegevens op te mogen slaan in de VS.

Dit artikel is geschreven door Ady van Nieuwenhuizen.

Wilt u op de hoogte blijven van de laatste ontwikkelingen in het privacy-recht? Meld u dan aan voor de Privacy Nieuwsbrief.