In oktober 2015 verklaarde het Europese Hof van Justitie het zogenaamde Safe Harbor verdrag ongeldig. Onder dit verdrag mochten Europese persoonsgegevens in de Verenigde Staten worden verwerkt. Sindsdien hing er ook voor Nederlandse bedrijven een zwaard van Damocles boven de verwerking van persoonsgegevens in de VS, bijvoorbeeld bij Amerikaanse cloud services. Als de EU en de VS voor 1 februari 2016 geen vervangende afspraken zouden maken, zouden Nederlandse persoonsgegevens niet meer in de VS verwerkt mogen worden. Beide overheden hebben het lang spannend gehouden, maar in blessuretijd zijn ze op 2 februari dan toch tot een nieuw akkoord gekomen: Safe Harbor is dood, lang leve het EU-US Privacy Shield! Daarmee lijkt de lucht geklaard, maar helaas hangen er boven het gebruik van Amerikaanse cloud-diensten door Nederlandse bedrijven nog steeds wat donkere privacy-wolken.
Wat is het EU-US Privacy Shield?
Het doel van het EU-US Privacy Shield raamwerk is waarborgen te creëren voor de veilige verwerking van Europese persoonsgegevens in de VS. Dat is relevant voor Nederlandse bedrijven die gebruik maken van ICT-diensten in Amerika, omdat deze Europese afspraken één-op-één van toepassing zijn op de Nederlandse privacy-regelgeving.
In de nieuwe overeenkomst worden eisen gesteld aan Amerikaanse bedrijven die de gegevens verwerken en aan de Amerikaanse overheid om deze gegevens te beschermen tegen ongewenste toegang door inlichtingendiensten. Juist dit laatste was, na de onthullingen van Edward Snowden, een reden voor het Europese Hof om het Safe Harbor verdrag als onvoldoende te bestempelen.
Wat is er anders aan het nieuwe raamwerk, behalve een nieuwe naam omdat de EU en de VS associaties met het Safe Harbor verdrag willen vermijden? Een uitgewerkte juridische tekst is er nog niet, dus we moeten het voor nu doen met de persverklaringen van de EU. Daaruit zijn de belangrijkste elementen van het nieuwe raamwerk op te maken:
- Strengere eisen aan bedrijven in de VS om Europese persoonsgegevens te beschermen.
- Toezicht op naleving door bedrijven vanuit het Amerikaanse Department of Commerce.
- Beperking van de mogelijkheden voor inlichtingendiensten om toegang tot Europese persoonsgegevens te krijgen.
- De mogelijkheid voor Europese burgers om een formele klacht in te dienen indien hun gegevens niet in lijn met het raamwerk zijn verwerkt.
- Een jaarlijkse evaluatie van de werking van het raamwerk door EU en VS.
Zijn de problemen hiermee nu opgelost?
Helaas is de problematiek van de verwerking van persoonsgegevens in de VS hiermee niet in één keer opgelost. Het zal het nog minstens drie maanden duren om de afspraken juridisch uit te werken, goed te keuren en in werking te laten treden. Daarbij hebben enkele Europese politici al hun zorgen geuit over de daadwerkelijke zekerheden die door de VS worden gegeven en de mate waarin de EU de naleving daarvan zal kunnen toetsen. Ook Max Schrems, die de zaak tegen de EU aanspande waardoor het Safe Harbor verdrag ongeldig werd, heeft zich al kritisch uitgelaten over de overeenkomst. Hoe een en ander daadwerkelijk uitpakt zal sterk afhangen van de juridische uitwerking in de komende tijd en de maatschappelijke en politieke discussie daaromtrent. Het zou dus ook zomaar een half jaar kunnen gaan duren voordat de nieuwe regels daadwerkelijk ingaan.
In de tussentijd blijven de gevolgen van het einde van de Safe Harbor overeenkomst voelbaar. Totdat het EU-US Privacy Shield in werking treedt zal formeel het bestaande regime blijven gelden. Dat betekent dat de aanvullende eisen die de EU heeft gesteld aan verwerking van persoonsgegevens in de VS nog steeds van kracht zijn. Deze komen er op neer dat met verwerkers aanvullende afspraken moeten worden gemaakt in de vorm van modelcontracten of binding corporate rules. En ook dan blijft het belangrijk dat organisaties die verantwoordelijk zijn voor de persoonsgegevens passende maatregelen nemen om hun organisatie privacy-proof te maken.
De komst van een goede nieuwe afspraak waaronder persoonsgegevens in de VS kunnen worden verwerkt is voor Nederlandse burgers, afnemers en wederverkopers van Amerikaanse cloud diensten cruciaal om met vertrouwen diensten te kunnen afnemen. Met het tot stand komen van het EU-US Privacy Shield is nu een belangrijke eerste stap gezet, maar we moeten wachten op verdere uitwerking en de te overwinnen politieke en maatschappelijke hobbels. Mijn advies is daarom dat Nederlandse bedrijven deze ontwikkelingen niet afwachten, maar zelf passende maatregelen treffen om persoonsgegevens goed te beschermen. Juist om privacy niet als een opgelegde randvoorwaarde te zien, maar als een integraal aspect van hun dienstverlening waarmee zij zich kunnen onderscheiden in de markt.