Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Is een modelcontract de oplossing voor het einde van Safe Harbor?

30 oktober 2015 Door

Begin oktober werd er een streep gezet door het Safe Harbor-verdrag met de Verenigde Staten (VS). Tot die tijd was het mogelijk persoonsgegevens over te brengen naar partijen in de VS die zichzelf gecertificeerd hadden op grond van de Safe Harbor principes. Op deze manier gaven partijen in de VS aan dat ze voldoende maatregelen troffen ter bescherming van Europese persoonsgegevens.

Safe Harbor zorgde er echter niet voor dat de Amerikaanse overheid geen toegang kon krijgen tot de persoonsgegevens. Om die reden werden persoonsgegevens volgens het Europees Hof van Justitie dan ook onvoldoende beschermd, en is er een einde gekomen aan het Safe Harbor-verdrag. Nu er een streep is gezet door het Safe Harbor-verdrag is natuurlijk de eerste vraag die volgt: op welke grond(en) mogen persoonsgegevens nog overgebracht worden naar de VS?

Ten eerste is het mogelijk om toestemming van de betrokkenen (de personen op wie de gegevens zien) te vragen voor het overbrengen van hun persoonsgegevens naar de VS. Dit is echter niet altijd een efficiënte oplossing (‘Hallo, ik sla je gegevens op in de VS, vind je dat oke? Kan de Amerikaanse overheid er wel bij.’). Daarnaast is het mogelijk een door de Europese Commissie goedgekeurd modelcontract met de ontvanger van de persoonsgegevens te sluiten. Maar is een modelcontract wel echt een ‘oplossing’?

Door het sluiten van een modelcontract wordt de ontvangende partij ‘geacht’ voldoende beschermingsmaatregelen te nemen. Echter zorgt een modelcontract er niet voor dat de Amerikaanse overheid niet bij de persoonsgegevens kan. De Amerikaanse overheid kan tenslotte de persoonsgegevens opvragen, ongeacht de contractuele afspraken tussen de partijen (verantwoordelijke en bewerker). In dat opzicht biedt een modelcontract dan ook niet meer bescherming voor persoonsgegevens dan dat de Safe Harbor principes dat deden.

Daarentegen is een modelcontract voor nu wel een ‘rechtmatige oplossing’ om persoonsgegevens over te brengen naar de VS (alhoewel De Duitse toezichthouder het hier totaal niet mee eens is). De kans is groot dat er door het Europees Hof van Justitie ook een streep wordt gezet door de modelcontracten, simpelweg omdat deze net als het Safe Harbor-verdrag onvoldoende waarborgen bieden voor de bescherming van persoonsgegevens. Desalniettemin, zolang de modelcontracten (nog) niet ongeldig zijn verklaard is een dergelijk contract de meest ‘eenvoudige’ optie om gegevens uit te blijven wisselen met de VS.

De Europese toezichthouders hebben aangegeven dat indien er aan het eind van dit jaar geen andere oplossing wordt aangedragen door de Europese Commissie voor het einde van het Safe Harbor-verdrag, zij zelf met een oplossing zullen komen. Zodra deze oplossing er is laten wij dit uiteraard weten!

 

Lisette Meij

Directeur ICTRecht Privacy

Lisette Meij is directeur van ICTRecht privacy. Lisette is gespecialiseerd in de juridische aspecten van privacy en Big Data. Zij houdt zich bezig met ingewikkelde privacyvraagstukken en voert privacyaudits uit bij organisaties.

Daarnaast is zij lid van the International Association of Privacy Professionals (IAPP) en is zij Certified Information Privacy Professional/Europe, United States en Asia (CIPP/E, CIPP/US en CIPP/A), Certified Information Privacy Manager (CIPM) én Certified Information Privacy Technologist (CIPT). Tevens heeft zij de erkenning ‘Fellow of Information Privacy’ (FIP) van de IAPP ontvangen.