3 december 2015 -
Het ongeldig verklaren van de Safe Harbor-overeenkomst door het Europese Hof van Justitie blijft het nieuws bepalen. Deze week werd duidelijk dat de VS en de EU aan het praten zijn over een nieuwe overeenkomst die in januari moet worden gesloten.
Tot die tijd zoeken bedrijven naar alternatieven voor het doorgeven van persoonsgegevens en andere data tussen de Europese Unie en de Verenigde Staten. Uniserv heeft onderzocht wat de mogelijkheden zijn. Bedrijven die tot voorkort met een beroep op de Safe Harbor-overeenkomst persoonsgegevens door konden geven aan de VS, werken nu in strijd met de wet, zo legt het College Bescherming Persoonsgegevens (CBP) op haar website uit. Privacytoezichthouders benadrukken dat zij zullen optreden als eind januari 2016 hiervoor vanuit de politiek geen oplossing is gevonden.
Persoonlijke gegevens
"Het moge inmiddels duidelijk zijn dat het arrest van het Europese Hof en het verdwijnen van deze ‘veilige haven’ niet alleen Amerikaanse bedrijven als Facebook en Google treft. Elk bedrijf dat persoonlijk identificeerbare informatie, zoals klantgegevens, zelf of met hulp van Amerikaanse dienstverleners doorgeeft aan de Verenigde Staten, moet zich nu inlezen over de gevolgen van het arrest," begint Roland Pfeiffer, CEO van Uniserv. "Deze belangrijke uitspraak zou kunnen betekenen dat de autoriteiten die zich in de EU met gegevensbescherming bezighouden strenger gaan kijken hoe bedrijven met persoonsgegevens omgaan. Ook kunnen we meer kritische vragen of rechtszaken van burgers tegen bedrijven verwachten. Uiteraard moeten bedrijven in eerste instantie goed kijken of ze data in de VS hebben staan, of ze gebruik maken van clouddiensten waarbij dit het geval is en of Amerikaanse bedrijven bij de data kunnen."
Delen van bestanden
"Denk daarbij niet alleen aan ERP-, CRM-, lead management- en marketing-software, maar ook aan diensten voor het delen van bestanden. Zelfs als het bedrijf onderdeel is van een internationaal concern moet gekeken worden of data die in de VS opgeslagen is onder ‘Safe Harbor’ valt. Bedenk daarbij goed dat data-export ook plaatsvindt wanneer er geen fysieke overdracht is, maar wanneer een bedrijf in de VS simpelweg toegang heeft tot de klant- en prospectdata van een Europees bedrijf."
Alternatieven
Bedrijven die data aan de VS doorgeven en dat tot nu toe konden omdat het bedrijf onder de Safe Harbor-status viel, hebben nu dus een probleem. Wat zijn nu de alternatieven?
1) Uitzondering
In een klein aantal gevallen wordt er door een nationale databeschermingsautoriteiten een uitzondering op de regels gemaakt. Dat gebeurt als communicatie nodig is om een contract of de uitvoering van precontractuele maatregelen te vervullen. Dit kan het geval zijn bij het boeken van een hotelkamer in het buitenland.
2) Toestemming
Data-overdracht naar de VS is toegestaan als de betrokken persoon hiermee uitdrukkelijk instemt. Een opmerking in de voorwaarden is zeker niet toereikend. In de praktijk zal hier alleen in uitzonderlijke gevallen sprake van zijn.
3) Contractuele clausule
Voor de overdracht van persoonsgegevens naar andere landen heeft de Europese Commissie modelovereenkomsten vastgelegd als een alternatief voor Safe Harbor. Als deze clausules onder een contract tussen de exporterende bedrijven in de EU en de data-importeur ongewijzigd worden gebruikt, dan is een daarop gebaseerde overdracht van data ook in de VS toegestaan.
4) ‘Binding Corporate Rules’
Internationale bedrijven kunnen onderling met bindende regels, gebaseerd op de EU-eisen, de bescherming van gegevens afspreken. Dit heeft voor- en nadelen. Een geheel concern moet wereldwijd aan EU-regels van databescherming voldoen en er is toestemming van alle nationale toezichthouders nodig. Het proces is dus langdradig. In plaats hiervan kan het bedrijf overeenkomsten met data-ontvangers van buiten de EU aangaan in overeenstemming met de standaardcontracten van de Europese Commissie (zie punt 3). Als het aantal partners niet te groot is kan dit een goede oplossing zijn.
Grote gevolgen
Hoe dan ook zijn de gevolgen groot. "Het vonnis van het Hof van Justitie zal de druk op het privacy-thema verder opvoeren," zegt Pfeiffer. "U moet als bedrijf goed uitkijken, ook in de keuze voor software en cloudoplossingen voor klanten. Het is belangrijk voor bedrijven nu individueel te onderzoeken wat ze gaan doen. Als ze rechtstreeks of via een derde partij gegevens van klanten en prospects in de Verenigde Staten hebben staan en als dit tot nu toe op de wettelijke basis van de Safe Harbor-overeenkomst is uitgevoerd, dan moeten ze iets veranderen. Aan te raden is dat ze kijken of de mogelijkheid van de modelcontracten geschikt voor ze is."