BLOG: Safe Harbor & Privacy Shield

Sinds eind vorig jaar en begin dit jaar, komen deze termen regelmatig voorbij in het nieuws. In ieder geval, de nieuwsitems vallen mij op omdat ik er een bovenmatige interesse in heb. Nee, dat is niet toevallig, onze business heeft alles te maken met opslag van gegevens, zowel persoonlijke als zakelijke gegevens.

Maar wat betekent dit nou precies voor bedrijven? Wat betekent het voor jou?

Safe Harbor

De Privacyrichtlijn die de EU heeft opgesteld met betrekking tot onze persoonsgegevens is streng. Binnen de EU en tussen de lidstaten onderling mag je ervan uitgaan dat er zorgvuldig met je persoonlijke gegevens wordt omgesprongen. Bedrijven en overheden die dat nalaten, overtreden de wet.

Artikel 25 van de Privacyrichtlijn regelt de doorgifte van persoonsgegevens naar landen buiten de EU, de zogenaamde ‘derde landen’. Kort door de bocht komt het erop neer dat de persoonsgegevens in dat derde land net zo goed beschermd moeten worden als in de EU.

En daar komt Safe Harbor om de hoek kijken. Het recht van de Verenigde staten voldoet niet aan de eisen van de Europese Unie: het beschermingsniveau in de VS van onze gegevens is niet voldoende. Als ‘derde land’ zouden Europese bedrijven en overheden geen persoonsgegevens mogen doorspelen naar in de VS gevestigde bedrijven. En daar zijn wel wat grote spelers actief die iets doen met gegevens, al dan niet persoonlijk.

In 2000 is de Safe Harbor beschikking tot stand gekomen na langdurige onderhandelingen tussen de Europese Commissie en de US Department of Commerce. Het stelde in de VS gevestigde bedrijven in staat, zich te verplichten tot naleving van de  Safe Harbor beschikking, waarna doorgifte van persoonsgegevens naar die bedrijven mogelijk werd. Er was dan sprake van een passend beschermingsniveau van de gegevens.

Snowden en de NSA

Totdat Snowden met zijn onthullingen kwam over het PRISM afluisterprogramma. Het bleek dat de NSA door dat programma toegang had tot een gigantische hoeveelheid data die op servers stond bij bedrijven die stuk voor stuk zichzelf hadden gecommitteerd aan de Safe Harbor beschikking. En waar ook persoonsgegevens van inwoners van de EU zijn opgeslagen.

Tja, dan blijkt zo’n beschikking toch niet helemaal waterdicht. De Oostenrijkse student Max Schrems wachtte de politiek niet af en besluit in 2013 een klacht in te dienen die er uiteindelijk toe leidt dat het Europese Hof van Justitie op een aantal punten een uitspraak doet, waardoor de Safe Harbor beschikking in zijn geheel ongeldig wordt.

De opvolger: Privacy Shield

Op dit moment wordt gewerkt aan het Privacy Shield, de opvolger van Safe Harbor. Rond de zomer moet dit afgerond zijn. Of die beschikking wel de toets kan doorstaan, is nu nog onduidelijk. Experts geven aan dat de VS te weinig concessies hebben gedaan, die leiden tot een acceptabel beschermingsniveau van onze persoonsgegevens.

Wel is er de mogelijkheid voor EU burgers om zich met een klacht te wenden tot een Amerikaanse ombudsman, die de klacht in behandeling neemt. Het is nu nog onduidelijk wat voor bevoegdheden die ombudsman krijgt. Het is geen rechter en zijn status in de VS is onduidelijk. Voor nu lijkt het erop dat de ombudsman niet meer dan boetes kan uitdelen aan bedrijven die, na onderzoek, de regels niet nakomen.

Diezelfde experts kijken uit naar een volgende klacht van de Oostenrijkse student Schrems.

Wat kan het voor jouw bedrijf betekenen?

Als jij persoonsgegevens van jouw klanten in de cloud opslaat, dan zou je op dit moment goed moeten nagaan of de gegevens terecht komen bij een in de VS gevestigd bedrijf. 

Als dat het geval is, dan zul je straks onder de nieuwe Privacy Shield moeten checken of dat bedrijf is geregistreerd op de Privacy Shield List van de US Department of Commerce. En ook checken of het bedrijf wellicht op de lijst staat van bedrijven die de Privacy Principles schenden. Want met die bedrijven wil je geen zaken doen. Daarbij lijkt het goed dat je als Europees bedrijf, als verantwoordelijke voor de gegevens, een overeenkomst sluit met het in de VS gevestigde bedrijf, de bewerker van de gegevens, waarin wordt vermeld dat het in de VS gevestigde bedrijf zich, gedurende de looptijd van de overeenkomst, aan de Privacy Principles zal houden.

Totdat Privacy Shield in werking treedt moet je het doen met modelcontractbepalingen, zogenaamde “Standard Contractual Clauses” (SCC) of “Binding Corporate Rules” (BCR) of ondubbelzinnige toestemming van de persoon van wie jij de data gaat opslaan in de VS.

Zijn er ook alternatieven?

Ja, een goed alternatief is natuurlijk om een Europese aanbieder in de arm te nemen voor de opslag van data, zakelijke- en persoonsgegevens, in de cloud. Die bedrijven dienen zich aan de Europese wetgeving te houden, die zoals gezegd, streng is op het gebied van de privacy van persoonsgegevens.

Vanzelfsprekend zijn wij dat ook! CloudCompagnon biedt jou de mogelijkheid om al jouw gegevens en informatie naar Europese richtlijnen in de cloud op te slaan. Alles wat je voor de samenwerking met Amerikaanse bedrijven moet regelen is bij ons als vanzelf geregeld. En daarbij, de functionaliteit die wij bieden, maken het vinden van je informatie en samenwerken met anderen zo eenvoudig!

meer weten? neem gerust contact met mij op.

Meer info

Over ons

Het Team

Opdrachtgevers

Bankgegevens

IBAN ABNAMRO
NL93ABNA0484938940

K.v.K nummer 62615343
BTW  nummer NL854888329B01

Vestiging Volendam

G.A. Brederodestraat 26
1132 SP Volendam

info@solid-flows.com
www.solid-flows.com