Op het terrein van het privacyrecht is het een drukke tijd: in ongeveer een week tijd heeft het Hof van Justitie van de Europese Unie in Luxemburg drie baanbrekende uitspraken gedaan: Bara, Weltimmo en Schrems. Waarbij de laatste (terecht) de meeste media-aandacht krijgt, maar de andere twee ook bepaald niet onbelangrijk zijn.
Als eerste de zaak Bara, wat een Roemeense zaak is. Het ging hier om ZZP’ers waarvan inkomensgegevens door de Roemeense belastingdienst gedeeld was met een uitvoerder in de sociale zekerheid. Die laatste heeft vervolgens desbetreffende ZZP’ers beboet omdat zij onjuiste inkomensgegevens aan deze uitvoerder hadden verstrekt. Of korter gezegd, het gaat hier om het koppelen van overheidsgegevens, wat in Nederland al geruime tijd gangbaar is, denk bijvoorbeeld aan de bestandskoppelingen in het kader van de sociale zekerheid, maar ook de uitwisseling van kentekengegevens met de fiscus. De vraag die aan het Hof van Justitie van de Europese Unie (HvJEU) werd voorgelegd was of voor een dergelijke uitwisseling van persoonsgegevens het een vereist is dat de betrokkene vooraf over deze overdracht naar en verwerking van gegevens door een andere overheidsinstantie wordt geïnformeerd. Het HvJEU heeft deze vraag bevestigend beantwoord: tenzij er een wettelijke regeling bestaat waarin er een eventuele beperking van de plicht tot informatieverstrekking wordt gesteld, , dient betrokkene te worden geïnformeerd over het feit dat hun gegevens zullen worden overgedragen aan een andere overheidsinstantie met het oog op verwerking door deze laatste instantie in haar hoedanigheid van ontvanger van deze gegevens. Deze uitspraak heeft potentieel forse gevolgen voor ook de Nederlandse situatie. Uit een recente inventarisatie van de Nederlandse overheid blijkt dat er ruim 900 databankkoppelingen tussen (onderdelen) van de rijksoverheid onderling en/of partijen buiten de rijksoverheid zijn. Daar zit een substantieel aantal verwerkingen tussen waarbij de verwerking en/of de uitwisseling gebaseerd is op lagere regelgeving dan wetgeving of in welk kader de uitwisseling plaatsvindt met partijen buiten de publieke sector. Dit allemaal nog afgezien van databankkoppelingen tussen decentrale overheden zoals gemeenten, provincies en waterschappen. Voor een aantal van deze uitwisseling van persoonsgegegens zal met een hoge mate van waarschijnlijkheid óf reparatiewetgeving noodzakelijk zijn óf een notificatie van burgers plaats moeten vinden.
In de zaak Weltimmo ging het om een Slowaakse “bedrijvengids” die ongevraagd gegevens van Hongaarse ondernemers publiceerde en hen daar vervolgens facturen voor stuurde. Hier greep de Hongaarse privacytoezichthouder in, wat niet geheel onverwachts tot een discussie over de bevoegdheid van de Hongaarse toezichthouder tegenover een Slowaakse partij leidde. Het HvJ oordeelde hierbij dat – aangezien Weltimmo actief de Hongaarse markt had benaderd en ook een agent in Hongarije had- er sprake was van bevoegdheid van de Hongaarse toezichthouder. Hierbij speelde ook een rol dat de eigenaren van Weltimmo, hoewel het een in Slowakije ingeschreven bedrijf was, in Hongarije woonachtig zijn en al eerder rechtszaken in Hongarije hadden aangespannen voor Hongaarse rechtbanken. Dit kan derhalve betekenen dat bijvoorbeeld een Nederlandse webshop die actief de Duitse markt benadert mogelijk ook onder het privacytoezicht van Duitse toezichthouders valt. De wereld van e-commerce wordt er zo niet eenvoudiger op.
Het grote nieuws was uiteraard de zaak Schrems omdat hierin de Safe Harbour-regeling ongeldig is verklaard. We hebben hier eerder over geschreven en toen aangegeven dat een wegvallen van de Safe Harbour-regeling op te vangen zou zijn met andere constructies zoals Binding Corporate Rules (BCR) en de modelclausules van de Europese Commissie voor de verwerking van persoonsgegevens in landen buiten de EU. Maar dat was nog ruim voordat er een uitspraak van het Hof van Justitie van de Europese Unie (HvJEU) was en die uitspraak gaat verder dan velen voorzagen.
Kort samengevat ging de discussie oorspronkelijk over de vraag of de Ierse Privacy Commissioner (de Ierse variant van ons College Bescherming Persoonsgegevens (CBP)) bevoegd was om de klacht van Max Schrems over de doorgifte van zijn persoonsgegevens door Facebook naar de Verenigde Staten te behandelen . Max Schrems had hierover geklaagd omdat hij van mening was dat de onthullingen van Snowden hebben aangetoond dat er onvoldoende privacywaarborgen voor EU-inwoners zijn bij verwerking in de Verenigde Staten. Het HvJEU oordeelde allereerst dat de Privacy Commissioner deze bevoegdheid om te oordelen wel heeft, ondanks dat voor Safe Harbour door de Europese Commissie een Beschikking (2000/520) is afgegeven waarin de Safe Harbour Principles zijn neergelegd, dit omdat anders de onafhankelijkheid van het privacytoezicht in de knel zou raken. De redenering die het HvJEU hierbij hanteerde is evenzeer van toepassing op de eerdergenoemde BCR en modelclausules, die dan nationale toezichthouders evenmin de bevoegdheid ontnemen te oordelen dat deze geen adequaat beschermingsniveau van bescherming van persoonsgegevens realiseren. Dit brengt met zich mee dat als ook maar één Europese privacytoezichthouder van mening is dat deze middelen onvoldoende waarborgen bieden voor de gegevensverwerking, hier al een probleem kan ontstaan omdat deze op grond van deze uitspraak van het HvJEU de bevoegdheid heeft om hier zelfstandig over te oordelen. In de uitspraak wordt in overwegingen 102 en 103 het volgende gezegd:
102 Artikel 3, lid 1, eerste alinea, van beschikking 2000/520 moet dus zodanig worden opgevat dat daarmee aan de nationale toezichthoudende autoriteiten de bevoegdheden worden ontnomen die zij aan artikel 28 van richtlijn 95/46 ontlenen wanneer een persoon in het kader van een verzoek op grond van die bepaling gegevens aanvoert, die twijfel kan doen ontstaan over de verenigbaarheid met de bescherming van het privéleven en de grondrechten en fundamentele vrijheden van personen, van een beschikking van de Commissie waarbij op grond van artikel 25, lid 6, van deze richtlijn is geconstateerd dat een derde land waarborgen voor een passend beschermingsniveau biedt.
103 De uitvoerende bevoegdheid die de Uniewetgever aan de Commissie heeft toegekend bij artikel 25, lid 6, van richtlijn 95/46, verleent die instelling niet de bevoegdheid om de in het vorige punt bedoelde bevoegdheden van de nationale toezichthoudende autoriteiten in te perken.
Voorts oordeelde het HvJEU onder meer dat, in het licht van het ontbreken van wettelijke waarborgen tegen inzage door Amerikaanse inlichten- en veiligheidsdiensten in gegevensverwerkingen in de Verenigde Staten, er per definitie geen sprake kon zijn van adequate waarborgen voor de privacy van Europese burgers onder Safe Harbour. Het HvJEU gaat expliciet voorbij aan de inhoud van de Safe Harbour-regeling en zegt dat tegen die achtergrond de Europese Commissie onbevoegd was deze regeling aan te gaan. Hetzelfde kan met evenveel recht over BCR en modelclausules gezegd worden. Wie zekerheid op langere termijn zoekt is dan ook beter af om de modelclausules in te zetten als overgangsmaatregel (de doorlooptijd om tot BCR te komen is hoe dan ook fors), maar op termijn zijn eigenlijk maar twee mechanismen met een hoge mate van zekerheid houdbaar:
- Toestemming van de betrokkenen, maar dat is veelal niet haalbaar in een business-to-business context, daarnaast moet die toestemming vrijelijk gegeven zijn, dus in het kader van een arbeidsverhouding wordt dit evenzeer een lastige maatregel.
- Verplaatsing naar Europa, bij voorkeur bij een Europese leverancier. Dit laatste omdat er in de Verenigde Staten rechtszaken lopen waarin de Amerikaanse overheid het standpunt heeft ingenomen dat haar inzagebevoegdheden zich uitstrekken tot gegevens die door Amerikaanse bedrijven waar ook ter wereld verwerkt worden.
Een voor de hand liggende tijdelijke noodoplossing voor partijen die nu al afhankelijk waren van Safe Harbour is om alsnog de modelclausules van de Europese Commissie te gaan gebruiken én daarbij overeen te komen dat als ook deze ongeldig verklaard worden de leverancier zijn volle medewerking zal verlenen aan een migratie naar een Europese leverancier.
En wat nu te vinden van een partij als bijvoorbeeld Microsoft die zelf modelcontracten goed heeft laten keuren door Europese privacytoezichthouders? Dit was op zich slim voorsorteren van Microsoft op de mogelijke uitkomsten van de zaak Schrems. Want daarin is juist bevestigd dat de toezichthouders bevoegd zijn een mening te hebben over instrumenten als deze. Toch geldt hier hetzelfde voor als voor de modelcontracten van de Europese Commissie: gezien de overwegingen van het HvJEU bij het ongeldig verklaren van Safe Harbour is het een kwestie van tijd dat ook deze ongeldig worden verklaard en hebben zij hooguit nut als overgangsmaatregel, al is de kans hier dat de privacytoezichthouders dit uit eigen beweging zullen doen relatief klein omdat zij ze zelf eerder hebben goedgekeurd. Individuele burgers kunnen echter via de rechter een toezichthouder dwingen om in te grijpen als daar een evidente aanleiding voor is, er is slechts een tweede Max Schrems nodig om dit te bereiken.
En ja, de wereld is fors veranderd door deze uitspraak. Iedere organisatie die persoonsgegevens verwerkt (en dat is zo ongeveer ieder bedrijf wel) moet zich nu afvragen waar dit daadwerkelijk plaatsvindt en of hier sprake was van de Safe Harbour-regeling. Dat vereist inzicht in de ICT-contracten en transparantie van de achterliggende ketens. En dat zal voor niet iedere organisatie een boekhouding zijn die perfect op orde is. Tijd om hier mee aan de slag te gaan, ook in het licht van het feit de Wet bescherming persoonsgegevens verwerking van persoonsgegevens in een land buiten de Europese Unie zonder een adequaatheidsbeslissing of aanvullende waarborgen strafbaar stelt.