Behoorlijk wat opschudding gisteren: advocaat-generaal Bot is van mening dat Amerikaanse bedrijven zich niet langer kunnen ‘verschuilen’ achter de safe harbor principes als het gaat om bescherming van privacy van Europese burgers. Maar wacht even, daar zijn die principes toch juist voor bedoeld?
Update 12-7-2016: Privacy Shield heeft het Safe Harbor verdrag vervangen
De safe harbor principes zijn ontwikkeld door de Amerikaanse overheid en bieden Amerikaanse organisaties de mogelijkheid om zichzelf te certificeren en zo aan Europese partijen aan te geven dat ze voldoende maatregelen treffen ter bescherming van Europese persoonsgegevens. Waarom dat nodig is? In Europa kennen we uitgebreide regels die zien op bescherming van persoonsgegevens, maar buiten Europa ontbreken deze regels vaak. Daarom kennen de Europese regels, zoals vastgelegd in onze Wet bescherming persoonsgegevens, een streng regime als het gaat om het exporteren van persoonsgegevens buiten de EU.
Dit is slechts toegestaan als het importerende land een passend beschermingsniveau biedt. In de VS is dat het geval wanneer het importerende bedrijf safe harbor gecertificeerd is, zo stelt Europa. Voor nu gaat dat goed. Maar waarom roept de advocaat-generaal dan dat we hiermee moeten stoppen en waarom komt hij daar nu mee?
Max Schrems, een Oostenrijkse privacy activist, is in een juridisch conflict met Facebook verwikkeld. Dat conflict is zo hoog opgelopen dat het Europese Hof van Justitie er iets van gaat vinden. En voordat het Hof er iets van vindt geeft een advocaat-generaal een advies.
Het advies is vernietigend. De advocaat-generaal stelt dat, nu gebleken is dat safe harbor gecertificeerde partijen onder het PRISM programma op grote schaal persoonsgegevens aan de Amerikaanse overheid af moeten staan, er niet langer gesproken kan worden van adequate bescherming van Europese persoonsgegevens:
It follows from these factors that the law and practice of the United States allow the large-scale collection of the personal data of citizens of the Union which is transferred under the safe harbour scheme, without those citizens benefiting from effective judicial protection.
Wil het omvallen van de safe harbor principes dan zeggen dat je straks geen persoonsgegevens meer naar Amerika kunt overbrengen? Nee, dat niet. De Wet bescherming persoonsgegevens biedt namelijk ook andere gronden waarop persoonsgegevens buiten de EU verwerkt mogen worden, zoals bijvoorbeeld met toestemming van de betrokkenen, of wanneer er een modelcontract met de importeur wordt gesloten.
Voor nu is dit overigens nog een advies (voor de liefhebber hier het hele advies) van de advocaat-generaal, maar in de praktijk worden dergelijke adviezen vaak door het Hof overgenomen.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.