Begin oktober werd er een streep gezet door het Safe Harbor-verdrag met de Verenigde Staten (VS). Tot die tijd was het mogelijk persoonsgegevens over te brengen naar partijen in de VS die zichzelf gecertificeerd hadden op grond van de Safe Harbor principes. Op deze manier gaven partijen in de VS aan dat ze voldoende maatregelen troffen ter bescherming van Europese persoonsgegevens.
Safe Harbor zorgde er echter niet voor dat de Amerikaanse overheid geen toegang kon krijgen tot de persoonsgegevens. Om die reden werden persoonsgegevens volgens het Europees Hof van Justitie dan ook onvoldoende beschermd, en is er een einde gekomen aan het Safe Harbor-verdrag. Nu er een streep is gezet door het Safe Harbor-verdrag is natuurlijk de eerste vraag die volgt: op welke grond(en) mogen persoonsgegevens nog overgebracht worden naar de VS?
Ten eerste is het mogelijk om toestemming van de betrokkenen (de personen op wie de gegevens zien) te vragen voor het overbrengen van hun persoonsgegevens naar de VS. Dit is echter niet altijd een efficiënte oplossing (‘Hallo, ik sla je gegevens op in de VS, vind je dat oke? Kan de Amerikaanse overheid er wel bij.’). Daarnaast is het mogelijk een door de Europese Commissie goedgekeurd modelcontract met de ontvanger van de persoonsgegevens te sluiten. Maar is een modelcontract wel echt een ‘oplossing’?
Door het sluiten van een modelcontract wordt de ontvangende partij ‘geacht’ voldoende beschermingsmaatregelen te nemen. Echter zorgt een modelcontract er niet voor dat de Amerikaanse overheid niet bij de persoonsgegevens kan. De Amerikaanse overheid kan tenslotte de persoonsgegevens opvragen, ongeacht de contractuele afspraken tussen de partijen (verantwoordelijke en bewerker). In dat opzicht biedt een modelcontract dan ook niet meer bescherming voor persoonsgegevens dan dat de Safe Harbor principes dat deden.
Daarentegen is een modelcontract voor nu wel een ‘rechtmatige oplossing’ om persoonsgegevens over te brengen naar de VS (alhoewel De Duitse toezichthouder het hier totaal niet mee eens is). De kans is groot dat er door het Europees Hof van Justitie ook een streep wordt gezet door de modelcontracten, simpelweg omdat deze net als het Safe Harbor-verdrag onvoldoende waarborgen bieden voor de bescherming van persoonsgegevens. Desalniettemin, zolang de modelcontracten (nog) niet ongeldig zijn verklaard is een dergelijk contract de meest ‘eenvoudige’ optie om gegevens uit te blijven wisselen met de VS.
De Europese toezichthouders hebben aangegeven dat indien er aan het eind van dit jaar geen andere oplossing wordt aangedragen door de Europese Commissie voor het einde van het Safe Harbor-verdrag, zij zelf met een oplossing zullen komen. Zodra deze oplossing er is laten wij dit uiteraard weten!
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.