Nadat op 6 oktober 2015 de ‘Safe Harbour’ beschikking van de Europese Commissie, die de bescherming van persoonsgegevens in Amerika regelt, ongeldig werd verklaard, is er een grijs gebied ontstaan. Wat betekent de ongeldigverklaring voor het uitvoeren van persoonsgegevens naar Amerika? Is er sprake van een veilige haven, of eerder van Tortuga, een vrijhaven voor piraten, vraagt Itte Overing zich af.
Op 6 oktober jongstleden verklaarde het Europese Hof de ‘Safe Harbour’ beschikking van de Europese Commissie ongeldig. Op grond van die beschikking mochten Amerikaanse organisaties zichzelf certificeren op basis van de Safe Harbour (veilige haven) principes. Bij goedkeuring kon het Amerikaanse bedrijf dan aan Europese partijen aangeven dat zij voldoende maatregelen getroffen had in het kader van de bescherming van Europese persoonsgegevens.
Wat is het effect van deze recente uitspraak voor Nederlandse bedrijven en instellingen? Stel dat je als zorginstelling gebruik maakt van een eHealth applicatie geleverd door een Amerikaans bedrijf met een Safe Harbour certificering, dan voldoe je op dit moment niet aan de Wet bescherming persoonsgegevens. Dat is op te lossen, daar kom ik later op terug.
Wat vooraf ging
Waarom is de beschikking destijds gegeven? In Europa kennen we uitgebreide regels die zien op bescherming van persoonsgegevens, maar buiten Europa ontbreken deze regels vaak. Daarom voorzien onze regels in een streng regime over het exporteren van persoonsgegevens buiten de EU. Het is alleen toegestaan als het importerende land een passend beschermingsniveau biedt.
En je ruikt het al, voor de VS gold/geldt dat niet. Om daar omheen te kunnen, en toch Amerikaanse ICT-diensten te mogen verlenen in Europa, heeft de Amerikaanse overheid de Safe Harbour principes bedacht. De Europese Commissie gaf in juli 2000 de beschikking af dat als een Amerikaanse organisatie (bijvoorbeeld een ICT-dienstverlener) oordeelt dat zij aan die principes voldoet, en dat op de juiste wijze communiceert, zij dan een passend beschermingsniveau biedt.
Vernietigend advies
Naar aanleiding van een juridisch conflict tussen Max Schrems, een Oostenrijkse privacy activist, en Facebook, is de veilige haven ter discussie gekomen. Deze rechtszaak draaide om de vraag of de Europese dochtermaatschappij van Facebook in Ierland het recht had om persoonsgegevens door te geven aan de server van Facebook in de VS, en of de gegevens van Schrems daar vervolgens verwerkt mochten worden. De discussie kwam voor het Europese Hof van Justitie. Voordat het Hof een uitspraak deed gaf de advocaat-generaal een advies over het voortbestaan van de Safe Harbour oplossing. Het advies was vernietigend. De advocaat-generaal stelde dat, nu gebleken is dat Safe Harbour gecertificeerde partijen onder het PRISM-programma op grote schaal persoonsgegevens aan de Amerikaanse overheid af moeten staan, er niet langer gesproken kan worden van adequate bescherming van Europese persoonsgegevens:
“It follows from these factors that the law and practice of the United States allow the large-scale collection of the personal data of citizens of the Union which is transferred under the safe harbour scheme, without those citizens benefiting from effective judicial protection.”
Het Europese Hof van Justitie heeft het advies van de advocaat-generaal gevolgd. De uitleg die het Hof geeft is dat Amerikaanse overheidsinstanties zich niet aan de Safe Harbour principes hoeven te houden indien zij dat in belang achten van de nationale veiligheid, het openbaar belang en de rechtshandhaving. Dit ziet het Hof als inmengingen in de grondrechten van personen. Het probleem zit hem erin dat er geen regels zijn op grond waarvan de inmenging aan banden wordt gelegd of op grond waarvan duidelijk blijkt dat er een doeltreffende rechtsbescherming mogelijk is tegen de inmenging door een Amerikaanse overheidsinstantie.
Het gevolg is dat er nu geen passend beveiligingsniveau is in Amerika op grond van de wet en dat je dus niet, althans niet op basis van een Safe Harbour certificering, persoonsgegevens naar een Amerikaans bedrijf mag uitvoeren.
De oplossing?
Zoals ik eerder aangaf kunnen er momenteel situaties ontstaan waarin een zorginstelling die gebruik maakt van een eHealth applicatie geleverd door een Amerikaans bedrijf met een Safe Harbour certificering, deze zorginstelling niet voldoet aan de Wet bescherming persoonsgegevens. De oplossing is een zogenaamd modelcontract. Een modelcontract sluit je als verantwoordelijke (de zorginstelling) met de eHealth- of ICT-leverancier. Dit kan wat voeten in de aarde hebben, omdat je die “bewerker” niet altijd kent.
Geeft een modelcontract dan ook daadwerkelijk meer bescherming van de grondrechten van Nederlanders of Europeanen? Dat is te betwijfelen. De modelcontracten bieden, net als Safe Harbour, mogelijk onvoldoende waarborgen voor de bescherming van persoonsgegevens. Er bestaat dan ook een kans dat de modelcontracten ongeldig worden verklaard door het Europese Hof van Justitie. Desalniettemin, zolang de modelcontracten niet ongeldig zijn verklaard is een dergelijk contract de meest ‘eenvoudige’ optie om gegevens uit te blijven wisselen met de VS.
Het inzetten van een modelcontract vind ik persoonlijk een juridisch trucje dat de giecheltoets van Arnout Engelfriet niet zou moeten mogen doorstaan. Althans bij medische persoonsgegevens, waarbij ook het recht van patiënten op geheimhouding geldt, zou je kunnen verwachten dat de zorgplicht in deze meer van de verantwoordelijke zorginstelling eist. Maar goed, op grond van de huidige jurisprudentie kan ik (nog) niet concluderen dat je er van uit moet gaan dat de Amerikaanse overheid meeleest. Ik kan dan ook niet zeggen dat het (juridisch) recht op geheimhouding wordt geschonden. Vooralsnog is het modelcontract dus voldoende.
De Europese toezichthouders hebben aangegeven dat indien er aan het eind van 2015 geen andere oplossing wordt aangedragen door de Europese Commissie voor het einde van het Safe Harbour-verdrag, zij zelf met maatregelen zullen komen. Uit verschillende nieuwsbronnen zouden we moeten opmaken dat er al bijna een nieuw Safe Harbour verdrag gesloten wordt. 1 januari 2016 is voorbij en is er nog steeds geen oplossing. Is het ophanden zijn van de oplossing enkel een PR-spin of zit er daadwerkelijk schot in de zaak? Het nieuwe jaar zal het ons vertellen.
Plaats een Reactie
Meepraten?Draag gerust bij!