Toezichthouders gunnen bedrijven tot eind januari 2016

dinsdag, 27 oktober 2015

Safe Harbor oplossing ongeldig, alternatief noodzakelijk

Het Europese Hof van Justitie heeft op 6 oktober jl. een belangrijk arrest gewezen dat uitwisseling van persoonsgegevens naar de VS bemoeilijkt.  Zie over dit arrest ons eerdere artikel. Het gaat om een arrest waarin de zogenaamde Safe Harbor beschikking van de Europese Commissie ongeldig is verklaard. Dat betekent dat bedrijven die momenteel persoonsgegevens doorgeven aan bedrijven in de VS op basis van de Safe Harbor beschikking in strijd handelen met de wet. Dit is ook expliciet bevestigd door de Europese Privacytoezichthouders, verzameld in de zogenaamde Artikel 29-werkgroep. De toezichthouders hebben daarbij aangekondigd vanaf januari 2016 hierop te zullen gaan handhaven. Het is daarom noodzakelijk om op korte termijn na te gaan onder welk regime  persoonsgegevens vanuit uw onderneming naar de VS gaan. 

Er worden vaker persoonsgegevens uitgewisseld met Amerikaanse ondernemingen dan op het eerste gezicht gedacht wordt. Het kan gaan om een ondernemingsbrede personeelsadministratie in de VS, een klantenadministratie bij een Amerikaanse cloudprovider, een 24-uurs helpdesk voor het onderhoud op systemen met medewerkers in de VS, webanalyses (analytics) die in de VS plaatsvinden, etc. Als de doorgifte van persoonsgegevens plaatsvindt op basis van een safe harbor certificering van het Amerikaanse bedrijf zullen nieuwe afspraken noodzakelijk zijn, omdat het gebruik van deze basis in strijd is verklaard met de Europese privacyregels.

Op grond van de Wet bescherming persoonsgegevens (Wbp) mogen persoonsgegevens niet worden doorgegeven naar een land buiten de EU indien dat land geen passend beschermingsniveau waarborgt, zoals de VS. De huidige regelgeving (art. 77 Wbp) biedt een paar uitzonderingen op dit verbod.  Doorgifte kan onder meer:

  • indien de betrokkene daar zijn ondubbelzinnige toestemming voor geeft;
  • de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst met de betrokkene;
  • gebruik wordt gemaakt van een modelcontract van de Europese Commissie
  • met een exportvergunning van de Minister van Veiligheid en Justitie.

Naast deze mogelijkheden kan voor de doorgifte van persoonsgegevens binnen een concern gekozen worden voor interne gedragscodes binnen de eigen organisatie (Binding Corporate Rules).

Vanwege het arrest van het Europese hof is het echter de vraag of de overgebleven mogelijkheden om persoonsgegevens vanuit Europa naar de VS door te geven op den duur geldig blijven. Een belangrijke reden van het hof om het safe harbor regime ongeldig te verklaren, is het feit dat de Amerikaanse autoriteiten toegang kunnen krijgen tot de persoonsgegevens die op basis van dat regime aan Amerikaanse bedrijven zijn verstrekt. De Amerikaanse regels omtrent nationale veiligheid hebben namelijk voorrang op afspraken tussen Europese en Amerikaanse bedrijven. Ook bij gebruik van modelcontracten, toestemming,  Binding Corporate rules of een exportvergunning zullen deze regels voorrang hebben. Dit kan op basis van afspraken tussen bedrijven of met betrokkenen ook niet worden voorkomen. Daarvoor zullen internationale afspraken nodig zijn.

De Artikel 29 werkgroep (waar ook de voorzitter van het College Bescherming Persoonsgegevens deel van uit maakt) heeft in haar verklaring van 15 oktober 2015 allereerst de Europese lidstaten en instellingen opgeroepen om met de VS te onderhandelen en afspraken te maken over de doorgifte van persoonsgegevens vanuit de EU naar de VS. Tevens zal de Artikel 29 werkgroep onderzoeken wat de uitspraak van het Hof van Justitie EU voor effect heeft op de andere mogelijkheden voor doorgifte. In de tussentijd kunnen bedrijven vooralsnog gebruik (blijven) maken van de modelcontracten van de Europese Commissie. Maar de Artikel 29 werkgroep wijst er wel op dat de nationale toezichthouders specifieke gevallen kunnen onderzoeken, bijvoorbeeld vanwege klachten.   

De Artikel 29 werkgroep verwacht van bedrijven dat zij maatregelen nemen om de privacyrisico’s die gerelateerd zijn aan de doorgifte van persoonsgegevens naar de VS te verkleinen. Bovendien zullen de nationale toezichthouders overgaan tot actie, waaronder gecoördineerde handhavingacties, indien tegen het einde van januari 2016 geen nieuwe afspraken zullen zijn gemaakt tussen Europa en de VS.

Kortom, doorgifte van persoonsgegevens naar de VS onder het Safe Harbor regime is onrechtmatig en bedrijven krijgen tot eind januari 2016 om alternatieve oplossingen te vinden. Op dit moment lijkt het afsluiten van modelcontracten de snelste en gemakkelijkste oplossing. Er zal daarbij wel goed nagedacht moeten worden over de inhoud van de bijlagen bij deze contracten en de (wijze van) controle op de naleving van de contracten. Ook zal moeten zijn voldaan aan de overige aspecten van de privacyregelgeving, waaronder de vereiste verwerkingsgrondslag, de beveiliging, de informatieplicht en de melding bij het CBP.

Om hoge boetes in de toekomst te vermijden is het aan te raden om alle bestaande uitwisselingen van persoonsgegevens met Amerikaanse bedrijven te inventariseren, ongeacht of er wordt gewerkt op basis van de Safe Harbor beschikking. Bovendien kan het, gelet op de nieuwe regels inzake de meldplicht datalekken, geen kwaad om de bestaande (model)contracten (en de bijlagen) kritisch tegen het licht te houden.

Wilt u meer informatie, neem dan contact op met Monique Hennekens.