Opslag data in VS niet langer mogelijk? Of toch wel?

– UPDATED 19 OKTOBER 2015 –

De ophef over het verbod op opslag van persoonsgegevens in de VS, zal u in de afgelopen week niet ontgaan zijn. Misschien vindt u het ‘een ver-van-mijn-bed-show’. Maar alleen al als u gebruik maakt van diensten zoals Google.docs, Microsoft 365 of Amazon Cloud is er een goede kans dat uw data zich op servers in de Verenigde Staten bevinden.

De hoogste rechter van Europa (het Hof van Justitie van de EU) heeft een belangrijk privacyverdrag met de Verenigde Staten ongeldig verklaard. Hieronder staan de mogelijke gevolgen van deze beslissing.

Safe Harbor-verdrag

De Europese Commissie heeft al in 2000 bepaald dat de VS voldoende waarborgen voor de bescherming van persoonsgegevens bood en dat op grond daarvan persoonsgegevens van inwoners van de Europese Unie in principe mochten worden doorgegeven en opgeslagen in de Verenigde Staten.

Het Safe Harbor-verdrag legde de beveiligingseisen vast die in acht moesten worden genomen. Maar met name ook door de onthullingen van Edward Snowdon ontstonden er grote vraagtekens bij de Safe Harbor-regels.

Uitspraak EU Hof van Justitie

Het Hof van Justitie oordeelde op 6 oktober 2015 dat het verdrag niet voldoende waarborgen biedt en dat daardoor de vertrouwelijkheid van persoonlijke gegevens niet gegarandeerd kan worden. Het Hof kwam tot deze conclusie omdat een Amerikaanse overheidsinstantie op grond van de nationale veiligheid, het openbaar belang of ter handhaving van het recht altijd toegang tot deze gegevens kan verkrijgen. Voor inwoners van de Europese Unie is het daarnaast niet mogelijk om zich tegen een dergelijke privacyschending te beschermen.

Het Hof vond dit voldoende om het Safe Harbor-verdrag ongeldig te verklaren.

Is opslag van gegevens in de VS nu niet meer toegestaan?

Het Safe Harbor-verdrag was een belangrijke constructie om doorgifte en opslag van data te regelen, maar gelukkig niet de enige mogelijkheid om dit te verwezenlijken. Het is nog steeds mogelijk om de doorgifte van data naar de VS veilig te stellen door gebruik te maken van de EU Standard Contract Clauses of in bepaalde gevallen de Binding Corporate Rules.

Misschien blijven de gevolgen door het ongeldig verklaren van het Safe Harbor-verdrag in de praktijk dus beperkt, als de bestaande mogelijkheden goed worden toegepast.

In de uitspraak van het Hof wordt naast het ongeldig verklaren van het verdrag, ook bevestigd dat toezichthouders, zoals in Nederland het College Bescherming Persoonsgegevens, de bevoegdheid hebben om doorgifte van data te doen staken en deze doorgifte te onderzoeken voordat de data worden doorgegeven.

Wat nu?

Zoals het er nu uitziet, blijft datadoorgifte naar de Verenigde Staten via een andere constructie gewoon mogelijk. Dat zal waarschijnlijk wel meer administratieve rompslomp met zich mee brengen.

Verder is te verwachten dat bedrijven zoals Apple, Microsoft en Google acties zullen ondernemen om dataopslag mogelijk te maken voor hun Europese klanten.

Wanneer u persoonsgegevens opslaat bij bedrijven die de gegevens mogelijk in de VS opslaan, blijft u wel verantwoordelijk! Om er zeker van te zijn dat uw dataopslag ook in de toekomst blijft voldoen aan de Nederlandse privacywetgeving, is het belangrijk om uw juridische situatie te laten beoordelen.

Urgent – aandacht en actie!

Zowel voor (semi)overheid, zorgsector als het bedrijfsleven is onmiddellijke aandacht en actie nu echt nodig omdat de gevolgen van de uitspraak direct zijn ingetreden.

  • Per 1 januari 2016 gelden ook nog eens veel hogere boetes: tot maar liefst € 810.000.
  • Bovendien treedt per 1 januari 2016 (!) ook de Wet Meldplicht Datalekken in werking.
  • Vertrouwen is cruciaal in uw relaties met bijv. uw klanten, cliënten of patiënten. Vertrouwen komt te voet en gaat te paard, zeker in de wereld van sociale connectivity. En u wilt de reputatie van uw organisatie natuurlijk niet op het spel zetten door slordig met persoonsgegevens om te gaan.

Kortom, aandacht voor bescherming van persoonsgegevens is nu echt urgent en verdient zeker nu meer dan ooit aandacht, ook op het niveau van uw directie of raad van bestuur.

Wat moet u doen?

De Europese privacytoezichthouders hebben in een gezamenlijke reactie laten weten dat de situatie moet worden geanalyseerd en waar nodig moet worden aangepast.

De Nederlandse Cbp geeft u tot eind januari 2016 de tijd om data elders op te slaan of er voor te zorgen dat deze data op een veilige manier kan worden opgeslagen in de VS. Na het verstrijken van de deadline zal worden ingegrepen.

Uw loods

U staat er niet alleen voor. De pragmatische privacyspecialisten van Louwers IP|Technology Advocaten beschikken over de kennis en ervaring om u tussen de rotsen door te loodsen naar de veilige haven.

Wij maken tegen vaste prijzen een assessment van uw situatie en adviseren over de beste oplossing in uw situatie en de stappen die u moet nemen.

Zo nodig schakelen wij in overleg met u andere disciplines bij, zoals Madison Gurkha voor technische assessments.

Kantoor Eindhoven: 040 2393200 (contactpersoon Marianne Korpershoek en Tom de Wit)

Kantoor Den Haag: 070 2400836 (contactpersoon Huub de Jong)

publicatiedatum: donderdag 15 oktober 2015