Afluisterschandalen VS leiden tot Europese vraagtekens bij de Safe Harbor Principles

Het PRISM-schandaal bracht aan het licht dat de Amerikaanse geheime dienst NSA op grote schaal toegang kreeg tot de persoonsgegevens van Europese burgers via het inlichtingenprogramma PRISM. Dit heeft ertoe geleid dat de Europese leiders en parlementsleden de Safe Harbor Principles willen opschorten totdat nader onderzoek naar de veiligheid daarvan door de Europese Commissie is afgerond. Opschorting van de Safe Harbor Principles kan grote gevolgen hebben voor alle ondernemingen in Europa die op grond daarvan persoonsgegevens doorgeven aan en laten verwerken in de Verenigde Staten. 

Op grond van de Safe Harbor Principles mogen Europese persoonsgegevens worden doorgegeven aan Amerikaanse ondernemingen die garanderen zich te houden aan de Europese privacy regelgeving, zonder dat hiervoor nadere eisen gelden. Omdat veel Europese ondernemingen gegevens doorgeven aan Amerika, bijvoorbeeld omdat ze onderdeel uitmaken van een internationaal concern en gegevens verstrekken aan een Amerikaans moederbedrijf, zijn de Safe Harbor Principles voor de praktijk van groot belang. 

Nu veiligheidsdiensten van de VS op grote schaal toegang hebben gekregen tot de Europese persoonsgegevens, is het volgens meerdere Europarlementariërs maar de vraag of Amerikaanse ondernemingen zich wel houden aan de Safe Harbor Principles. De Safe Harbor Principles geven weliswaar de mogelijkheid voor de NSA om bij zwaarwegende belangen van nationale veiligheid toegang te verkrijgen tot Europese persoonsgegevens, maar het vermoeden bestaat dat de NSA ook zonder zwaarwegende belangen toegang heeft gekregen tot deze gegevens. Bovendien hebben Europese autoriteiten geen bevoegdheid om te kunnen controleren of de Amerikaanse ondernemingen zich wel aan de Safe Harbor Principles houden. Europese leiders en parlementariërs pleiten daarom voor het opschorten van de Safe Harbor Principles tot onderzoek duidelijkheid heeft verschaft over de veiligheid en betrouwbaarheid van het systeem.

Bij opschorting van de Safe Harbor Principles mogen Europese ondernemingen niet meer op grond van dit systeem persoonsgegevens aan ondernemingen in de VS doorgeven. Persoonsgegevens mogen naar Europese regels alleen worden doorgegeven naar landen buiten de EU indien dat land een ‘passend beschermingniveau’ biedt, hetgeen de privacyregelgeving van de VS niet biedt. Bij opschorting van de Safe Harbor Principles is doorgifte naar de VS alleen toegestaan als sprake is van een wettelijke uitzondering voor de doorgifte of als een vergunning voor de doorgifte wordt verleend door de Minister van Justitie. Daarnaast bestaat voor multinationals de mogelijkheid van Binding Corporate Rules. Dit zijn interne gedragscodes die zijn opgesteld in een internationaal concern met betrekking tot de doorgifte van persoonsgegevens binnen de groep. Alle onderdelen en werknemers van de groep dienen zich daaraan te houden. In deze gedragscode legt de multinational vast op welke wijze het concern de privacyregelgeving naleeft. Na goedkeuring van deze Binding Corporate Rules door één van de nationale Privacytoezichthouders in de EU, zoals het College Bescherming Persoonsgegevens, mogen persoonsgegevens worden doorgegeven naar vestigingen van het concern buiten de EU.

Eind dit jaar wordt een beslissing op Europees niveau verwacht over het al dan niet opschorten van de Safe Harbor Principles. We houden u uiteraard op de hoogte.