Hof van Justitie: géén persoonsgegevens bij Amerikaanse partijen.

bewerkersovereenkomst

Recent heeft het Europees Hof van Justitie, de hoogste Europese rechter, de Safe Harbour-verklaring nietig verklaard[1]. Een einde aan de door de Europese Commissie in het leven geroepen verklaring betekent dat data die in Amerika staat, daar nu illegaal staat. Maar ook data binnen de EU, bij een Amerikaanse cloudprovider onderbrengen is niet toegestaan.

Boetes tot € 810.000 of 10% van wereldwijde jaaromzet
Vanaf 1 januari geldt in Nederland nieuwe wetgeving met betrekking tot de beveiliging van persoonsgegevens, waaronder de meldplicht datalekken. Ook de onrechtmatige verwerking (bijv. wanneer de Amerikaanse overheid erbij zou kunnen (11.1 lid j Telecommunicatiewet) van persoonsgegevens wordt daarbij ook gezien als inbreuk op de privacy. De boetes voor overtredingen kunnen oplopen tot € 810.000 of 10% van de wereldwijde jaaromzet. De toezichthouder heeft daarbij wel toegezegd niet vóór 1 februari 2016 te gaan handhaven, maar daarna krijgt ze forse mogelijkheden. Daarom is het belangrijk te weten waar nu precies het probleem ligt.

Data in Amerika
Het probleem ontstaat door het feit dat de Europese Commissie jarenlang heeft gezegd: “regel het met een modelovereenkomst of een ‘safe harbour’-overeenkomst, waarin afspraken worden gemaakt over de vertrouwelijkheid van (persoons)gegevens.” Deze overeenkomst blijkt echter, aldus het Hof, een wassen neus als het gaat om toegang tot data voor Amerikaanse opsporingsinstanties. De lokale wetgeving wint het immers van de afspraken gemaakt tussen twee partijen. Resultaat: Amerika kan gewoon bij de data.

Data in Europa, bij een Amerikaanse cloudleverancier
Veelal wordt er gedacht dat als de data in EU staat, het daar veilig staat. Echter, niets is minder waar. Al diverse malen heeft de Amerikaanse rechter gezegd dat wanneer de dochter van een Amerikaans bedrijf ‘Custody & Control’ heeft, de Amerikaanse moeder gedwongen kan worden om de data via de Europese dochter te verkrijgen. Ook hier weer het resultaat: Amerika kan er gewoon bij, omdat hun wetten het winnen van onderlinge afspraken.

Een goed voorbeeld hiervan is het Amerikaanse Microsoft Corp. met Microsoft Ireland Ltd. als dochteronderneming. Microsoft heeft e-mailgegevens van Europese klanten opgeslagen in datacentra in Ierland. Het Amerikaanse Openbaar Ministerie vroeg om e-mails die daar zijn opgeslagen, maar Microsoft weigerde deze te geven. De zaak is nu langs twee rechters geweest en Microsoft heeft het bevel gekregen om de gegevens aan te leveren. Hierop zijn zij naar een Amerikaanse hogere rechter gestapt. Deze zaak moet nog voorkomen. Microsoft sorteert zelf al voor op de uitkomst door een nieuw cloudprogramma te introduceren in Duitsland, dat naar verwachting eind 2016 gereed is. De specificaties zijn nog onbekend, maar dat het duurder wordt is al wel op voorhand aangekondigd.

En nu?
Data dat buiten Europa of binnen Europa maar bij een Amerikaanse cloudleverancier staat is dus niet veilig. Een oplossing is dus gewenst. De Europese Commissie komt daarom voor 1 februari 2016 met een ‘Safe Harbour 2.0’ verklaring, maar daar heeft de juridische wereld weinig vertrouwen in. Er is immers niets dat u af kán spreken waardoor de Amerikaanse overheid niet bij de data zou kunnen. De Amerikaanse overheid zou hún wetten aan moeten passen, of de Amerikaanse Cloudproviders moeten zich van ‘Custody & Control’ ontdoen. Dat betekent dat ze niet meer bij de data kunnen, en dat is lastiger dan u zou denken. Al codeert u de data, zolang zij de sleutel hebben (en dat is praktisch noodzakelijk), dan kunnen zij erbij. De enige echt oplossing is om uw data bij een partij te zetten die geen moederorganisatie heeft buiten Europa. Een partij als Fundaments bijvoorbeeld. Dan weet u zeker dat uw data niet buiten Nederland komt en op dat vlak dus voldoet aan de eisen van de wet.

Tenslotte
De Wet Bescherming Persoonsgegevens schrijft voor dat, indien de verantwoordelijke het verwerken van data uitbesteed aan een bewerker, hier voldoende technische en organisatorische maatregelen voor moet worden genomen en dat dit middels een overeenkomst moet worden vastgelegd.

Voor onze partners betekent dit dat er een overeenkomst moet zijn met ons. En voor eindklanten dat er een overeenkomst moet zijn met onze partners. Fundaments faciliteert hier een voorbeeldovereenkomst in voor haar partners, met dank aan ICTRecht. Mocht u hier interesse in hebben neem dan contact met ons op. Indien er nadere specifieke afspraken in de overeenkomst gemaakt moeten worden, verwijzen wij dan ook door naar ICTRecht.

 

Update: Privacy Shield als antwoord op Safe Harbour

[1] De zaak Schrems (C‑362/14)