Safe Harbor, hoe lang nog?

Vandaag houdt het Hof van Justitie van de Europese Unie openbare zittingen in de zaak tegen Facebook over de doorgifte van persoonsgegevens naar de Verenigde Staten onder het zogenaamde Safe Harbor regime. De belangen die op het spel staan zijn groot, de uitkomsten nog onzeker. In dat kader een artikel wat Tom Jozak en ik vorig jaar juni in Automatiseringgids publiceerden over dit onderwerp, maar wat nog steeds actueel is.

De uitwisseling van privacygevoelige persoonsgegevens met partijen in de VS is sinds 2000 juridisch mogelijk dankzij het Safe Harbor-regime. Maar het regime staat op de tocht, getuige de uitspraak van het Europese Hof begin april. Wat zijn de knelpunten? En wat zijn de gevolgen als het regime verdwijnt? Het kan meevallen, concluderen Walter van Holst en Tom Jozak.

Hoofdregel voor internationale uitwisseling van persoonsgegevens buiten de EU is dat de Europese partij verantwoordelijk blijft voor wat een ‘adequaat’ beschermingsniveau (zie kader) in het derde land genoemd wordt. Voor een aantal landen (onder andere Canada, Australië en Nieuw-Zeeland) geldt dat het beschermingsniveau bij voorbaat als ‘adequaat’ is bestempeld door de Europese Commissie. De Verenigde Staten is niet één van die landen, eenvoudigweg omdat hier geen sprake is van generieke privacywetgeving
die enigszins vergelijkbaar is met wat wij in de Europese Unie gewend zijn. In plaats daarvan is er een uitzondering geschapen voor zelfregulering in de vorm van het zogenaamde Safe Harbor-regime. Door zich vrijwillig aan toezicht van met name de Federal Trade Commission (FTC) te onderwerpen op dit terrein is het voor Amerikaanse IT-dienstverleners, met name cloudproviders, mogelijk om toch op de Europese markt te opereren. Vooral voor dienstverleners zonder rekencentra in Europa is het
zonder deze uitzonderingssituatie nauwelijks mogelijk om Europese klanten te bedienen zonder dat laatstgenoemden privacywet- en regelgeving overtreden.

Onder druk

Intussen staat deze uitzondering, niet in het minst door de onthullingen van Edward Snowden onder druk. Het Europees Parlement heeft tot twee maal toe een motie aangenomen die de Europese Commissie oproept om Safe Harbor af te schaffen. Ook komen er uit het Europese bedrijfsleven geluiden om dit te doen, zo heeft bijvoorbeeld de CEO van Deutsche Telekom hiertoe opgeroepen in een interview met het Handelsblatt. Ook Eurocommissaris Reding heeft een dertiental verbeterpunten voor Safe
Harbor gepubliceerd en de FTC opgeroepen het toezicht aan te scherpen. Waarbij het collectief van Europese privacytoezichthouders, de Article 29 Working Party (WP29), hier nog een zestal aanvullende verbeterpunten over heeft gepubliceerd. Reding heeft recentelijk in interviews aangegeven zich zorgen te maken over de snelheid waarmee de verbeterpunten worden opgepakt. Maar de echt grote slagschaduw over Safe Harbor is gevallen met de uitspraak van het Europese Hof over de bewaarplicht van
8 april jl. Want het Hof heeft zich daarbij ook uitgesproken over de voorwaarden voor het exporteren van privacygevoelige gegevens buiten de EU en daarbij expliciet voorwaarden genoemd waar Safe Harbor niet aan voldoet en ook niet aan kan voldoen. Dit brengt met zich mee dat als de Europese Commissie niet in actie komt (en de schok voor de trans-Atlantische handelsbetrekkingen zou zo groot zijn dat de Commissie forse schroom heeft, zie kader), dit wel eens via de rechtspraak zou kunnen gebeuren.

Handelsoorlog

De belangrijkste reden waarom het afschaffen van Safe Harbor tot voor kort zo ondenkbaar was, is dat een dergelijk besluit van de Europese Commissie vrijwel zeker een handelsoorlog tussen de Europese Unie en de Verenigde Staten zal ontketenen. De belangen van technologiebedrijven in Silicon Valley om zich zo min mogelijk gelegen te hoeven laten liggen aan de Europese wet- en regelgeving op het gebied van privacy zijn eenvoudigweg te groot. Het zou ook een politiek probleem blootleggen: het Safe Harbor-regime is ingevoerd om handelspolitieke redenen, niet zozeer omdat er een bewuste beleidskeuze van de Europese Commissie achter zit. Het had evenzeer op verwerking van persoonsgegevens in India van toepassing kunnen zijn, maar er zijn nooit redenen gegeven waarom dat niet het geval is. Politiek gezien zou het zelfs wenselijk zijn dat het door een rechterlijke uitspraak afgeschaft wordt, dan kan men zich daar nog enigszins achter verschuilen

Daarbij komt nog dat er bij dat andere Europese Hof, het Europese Hof van de Rechten van de Mens, een spoedprocedure loopt over de medewerking die aan PRISM is verleend door Facebook en Skype, waarbij de Ierse en Luxemburgse privacytoezichthouders zich beriepen op Safe Harbor. Het valt te voorzien dat Safe Harbor hier niet onbeschadigd
uitkomt.

Afschaffen

Het ondenkbare, afschaffen van Safe Harbor, is dus denkbaar geworden en de vraag die dan rijst is wat de impact daarvan zou zijn. Verrassend genoeg zou deze best mee kunnen vallen. Aan de aanbodzijde van clouddiensten kunnen Amazon, Google en Microsoft nog steeds op de Europese markt opereren omdat zij rekencentra in Europa hebben. Microsoft heeft daarbij ook nog eens heel strategisch zijn cloudvoorwaarden door de WP29 laten goedkeuren als gelijkwaardig aan de standaardclausules die gehanteerd
moeten worden in de situaties waarin er wel export is, maar geen Safe Harbor. Voor sociale-mediapartijen, zoals Facebook en Twitter, geldt een meer wisselend beeld. Facebook heeft een rekencentrum in Zweden maar heeft andere, grotere, problemen met de Europese privacyregels dan Safe Harbor. Ook voor Europese multinationals geldt dat gegevensuitwisseling binnen concernverband veelal mogelijk blijft buiten Safe Harbor om, via zogenaamde ‘corporate binding rules’ bijvoorbeeld (zie kader).

Binding corporate rules

‘Binding corporate rules’ is een instrument dat ervoor zorgt dat multinationale bedrijven met vestigingen buiten de Europese
Unie toch persoonsgegevens tussen werkmaatschappijen onderling uit kunnen wisselen. Door zich concernbreed aantoonbaar aan de Europese regels te committeren kunnen
multinationals zo hun eigen Safe Harbor creëren. Hier zijn wel monitoring- en auditverplichtingen aan verbonden, waardoor dit instrument vooral populair is bij grotere organisaties. Een voordeel hierbij is dat een concern dat ‘binding corporate rules’ hanteert, zijn eigen toezichthouder uit kan kiezen in Europa. Een aantal Nederlandse multinationals heeft voor deze route gekozen.

 

Hiervoor is wel goedkeuring van privacytoezichthouders vereist, maar die faciliteit bestaat. De echte impact komt bij Amerikaanse cloudpartijen die geen rekencentra in Europa gebruiken en niet in staat zijn om de Europese activiteiten op korte termijn operationeel te scheiden van de niet-Europese. En daar zijn er veel meer van dan men denkt, zeker middelgrote. Niet alleen zouden deze van de Europese markt afgesneden worden, maar ook hun Europese klanten zouden dan op zeer korte termijn uit moeten wijken naar andere oplossingen. En daar kan bloed vloeien, maar dat kan vaak ook voorkomen worden door hier op voorbereid te zijn. De eerste stap om hierop voorbereid te zijn is om inzicht te krijgen in de keten van dienstverleners. Voor welke bedrijfsprocessen is de organisatie afhankelijk van clouddiensten? Waar draait die leuke e-HRM-applicatie
die de organisatie sinds een jaar of twee naar volle tevredenheid gebruikt en welke onderaannemers zijn daarbij betrokken? Of de branchespecifieke
online CRM-oplossing? Op basis van wat voor contracten en SLA’s? Ook als de leverancier Europees is, komt het niet zelden voor dat er toch geleund wordt op een clouddienst die Amerikaans is. Dus de hele keten, tot op het ijzer in het rekencentrum, is relevant. En dan is het vooral logisch om de vraag aan de leveranciers te stellen: wat is jullie noodplan voor deze situatie? En laat eens zien dat dit plan gaat werken. Want als het antwoord van de leverancier is dat dit het probleem van de afnemer is, dan
is het wellicht tijd om uit te gaan zien naar een alternatieve partij voor de oplossing.

Hanteerbaar

Voor organisaties met een goed overzicht van hun ICT-contracten zal dit een betrekkelijk hanteerbare exercitie zijn. Hier wreekt zich alleen het gemak van de cloud: veel clouddiensten zijn buiten de inkoop- of de ICT-afdeling om gecontracteerd. Vertrekpunt zal niet zelden eerder de crediteurenadministratie zijn dan de ICT-contractenportfolio. In het ernstigste geval moet de oplossing veranderen, maar veelal kan een kleine wijziging in de ‘underpinning’ contracts van de leverancier al veel betekenen. Een voorbeeld van zo’n wijziging is dat de (cloud)onderleverancier van de leverancier verwerking binnen de Europese Economische Ruimte garandeert. Een ander voorbeeld van een dergelijke wijziging is het gebruik maken van de modelclausules van de Europese Commissie (zie kader), maar dit zal in de praktijk vaak niet haalbaar zijn. Kortom, we leven in interessante tijden op het terrein van de privacyregels. En het verdwijnen van Safe Harbor is denkbaar geworden, maar hoeft niet te betekenen dat de wereld vergaat, mits men over deze mogelijkheid nadenkt en tijdig maatregelen treft of ten minste voorbereidt. Het zou overigens evenzeer te overwegen zijn om dit alles te
vereenvoudigen door in wetgeving een verplichting op te nemen die verwerking met gelijkwaardige waarborgen als in de Europese Unie door de verantwoordelijke laat garanderen, zonder dat er met merkwaardige halve verboden wordt gewerkt, zoals nu.

Modelclausules Europese Commissie

Naast adequaatheidsbeslissingen zoals Safe Harbor en de ‘binding corporate rules’ is er een derde faciliteit om privacygevoelige
gegevens buiten de Europese Unie te kunnen brengen: gebruik maken van standaardcontracten die door de Europese Commissie zijn vastgesteld voor dit doel. Nadeel hiervan is dat de exporterende partij per definitie meer risico draagt dan in het geval van een adequaatheidsbesluit en dat de mogelijkheden om van deze standaardclausules af te wijken, zeer beperkt zijn.

Plaats een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.