Op 6 oktober 2015 oordeelde het Europees Hof van Justitie dat de zogenoemde ‘Safe Harbor Principles’, op basis waarvan persoonsgegevens kunnen worden uitgewisseld tussen Europa en de Verenigde Staten, ongeldig zijn. Dit heeft als gevolg dat retailers die persoonsgegevens verstrekken aan ondernemingen in de Verenigde Staten, zoals aan hun moedermaatschappij, cloud-dienstverlener, of klanten mogelijk in strijd handelen met de Europese en Nederlandse privacywetgeving. Wat te doen?
Door Marina Kleijn
Advocaat bij Bosselaar & Strengers Advocaten
Wat zijn de Safe Harbor Principles?
De Safe Harbor Principles is de naam van een verdrag tussen Europa en de Verenigde Staten op basis waarvan onderlinge uitwisseling van persoonsgegevens tussen bedrijven uit Europa en de Verenigde Staten kon plaatsvinden. Onder persoonsgegevens vallen, kort gezegd, alle gegevens die herleidbaar zijn tot een natuurlijk persoon. Dit zijn onder meer namen, (e-mail)adressen, telefoonnummers en in voorkomende gevallen ook IP-adressen.
Op grond van de Europese privacywetgeving mogen persoonsgegevens niet worden verstrekt aan landen buiten de Europese Unie. Dit is alleen anders indien de wetgeving van het land waaraan doorgifte plaatsvindt naar Europese maatstaven een passend privacy beschermingsniveau biedt. De Verenigde Staten is een land waarin de privacybescherming naar het oordeel van de Europese Unie niet voldoende gewaarborgd is om uitwisseling van persoonsgegevens toe te staan.
Om uitwisseling van persoonsgegevens tussen bedrijven in de Verenigde Staten en Europa toch mogelijk te maken, zijn in het jaar 2000 de Safe Harbor Principles in het leven geroepen. Op grond van de Safe Harbor Principles konden bedrijven in de Verenigde Staten zich laten certificeren. Verkreeg een bedrijf een certificaat, dan was daarmee aangetoond dat het bedrijf naar Europese maatstaven voldoende privacyrechtelijke waarborgen bood om doorgifte van Europese persoonsgegevens aan dat bedrijf toe te staan.
Op dinsdag 6 oktober 2015 oordeelde de hoogste rechterlijke instantie van Europa, het Europees Hof van Justitie, dat de Safe Harbor Principles ongeldig zijn. De Safe Harbor Principles waarborgen naar het oordeel van het Hof van Justitie geen passend privacybeschermingsniveau voor persoonsgegevens die met de Verenigde Staten worden uitgewisseld.
Wat betekent deze beslissing voor retailers?
De beslissing van het Hof van Justitie heeft als direct gevolg dat retailers die persoonsgegevens verstrekken aan ondernemingen in de Verenigde Staten, zoals aan hun moedermaatschappij, cloud-dienstverlener, of aan in de Verenigde Staten gevestigde klanten sinds 6 oktober in beginsel strijd handelen met de Europese en Nederlandse privacywetgeving.
Door de uitbreiding van de boetebevoegdheden van het College Bescherming Persoonsgegevens per 1 januari 2016 riskeren retailers die in strijd met de privacywetgeving gegevens verstrekken aan de Verenigde Staten op korte termijn bovendien hoge boetes.
Verwacht mag worden dat de praktische en juridische consequenties van deze uitspraak ertoe zal leiden dat er vanuit Europa op korte termijn gezocht zal worden naar een oplossing. Dit is echter geen eenvoudige taak. In de tussentijd zullen retailers dus binnen de grenzen van de wet moeten zoeken naar andere mogelijkheden om persoonsgegevens aan de Verenigde Staten te verstrekken. Hierbij kan de retailer denken aan de volgende mogelijkheden.
Een eerste mogelijkheid is dat de betrokkene waarop de persoonsgegevens betrekking hebben aan de retailer zijn ondubbelzinnige toestemming heeft gegeven voor de doorgifte van zijn persoonsgegevens aan de Verenigde Staten. Deze ondubbelzinnige toestemming moet de retailer wel kunnen aantonen. Met name bij grootschalige doorgifte van persoonsgegevens is de ondubbelzinnige toestemming als grondslag voor de doorgifte praktisch moeilijk uitvoerbaar. Daarbij is de betrokkene gerechtigd deze toestemming weer in te trekken.
Een tweede mogelijkheid is dat de retailer een overeenkomst sluit met het bedrijf waaraan de persoonsgegevens worden verstrekt. De Europese Commissie heeft in een besluit uit 2010 een aantal modelcontractbepalingen geformuleerd die in een dergelijke overeenkomst kunnen worden opgenomen. Dit heeft als gevolg dat er veel modelcontracten op internet te vinden zijn die als basis kunnen dienen voor de af te sluiten overeenkomst. Afhankelijk van de persoonsgegevens die je als retailer verstrekt zal een dergelijk modelcontract al dan niet voldoende waarborgen bieden om binnen de grenzen van de privacywetgeving te blijven. Controleer dit dus goed.
Voor retailers die binnen concernverband persoonsgegevens verstrekken aan de Verenigde Staten bestaat de mogelijkheid om een interne gedragscode op te stellen. Deze gedragscode moet door het College Bescherming Persoonsgegevens voordat de persoonsgegevens worden uitgewisseld.
De beslissing van het Europees Hof van Justitie heeft ingrijpende gevolgen voor retailers die persoonsgegevens verstrekken aan bedrijven in de VS op basis van de Safe Harbor Principles. Dit levert sinds 6 oktober schending van de privacywetgeving op. Als retailer doe je er verstandig aan om goed in kaart te brengen welke gegevens jij verstrekt aan bedrijven in de Verenigde Staten en vervolgens op zoek te gaan naar een andere wettelijke grondslag om deze gegevensverstrekking voort te zetten. Verder is het afwachten met welke oplossing Europa zal komen om deze impasse te doorbreken.
Reacties 0