Home > Blog > Gegevensoverdracht naar de VS: Een behouden haven?

Gegevensoverdracht naar de VS: Een behouden haven?

De Europese Unie stelt scherpe eisen aan het delen van persoonlijke data, zoals adresgegevens en telefoonnummers, met bedrijven die buiten de EU gevestigd zijn. Aangezien het niveau van bescherming in bijvoorbeeld de Verenigde Staten niet gelijk is met Europa, moeten bedrijven aanvullende maatregelen treffen om toch rechtmatig gegevens over te kunnen dragen aan bedrijven in Amerika.

Bedrijven hebben in dat geval de keuze uit vier verschillende systemen om de gegevensoverdracht rechtmatig plaats te laten vinden:

  • Binding Corporate rules
  • Model Contractsbepalingen
  • Toestemming of Anonimisering
  • Aansluiting bij Safe Harbor (tot 2015) nu: Privacy Shield

Binding Corporate Rules

Binding Corporate Rules zijn interne bedrijfsregels en worden vaak gebruikt door internationale ondernemingen met vestigingen in Europa en de VS. De interne bedrijfsregels dienen goedgekeurd te worden door de lokale autoriteiten van het Europese land waarin de onderneming gevestigd is. Hierna mogen persoonsgegevens uitgewisseld worden binnen de ondernemingsgroep.

Voordeel: Eén systeem, waardoor niet steeds per dataoverdracht een afzonderlijk contract afgesloten hoeft te worden.

Nadeel: Het opstellen en goedkeuren van de Binding Corporate Rules is duur en kost veel tijd. In de meeste EU-lidstaten moeten er vergunningen aangevraagd worden en dient er aan bepaalde meldplichten voldaan te worden alvorens goedkeuring verkregen wordt.

Modelcontractbepalingen

Dit is een set bepalingen m.b.t. gegevensoverdracht dat door de Europese Commissie is goedgekeurd.  Bedrijven kunnen deze modelcontractbepalingen overnemen in het contract dat zij met elkaar sluiten.

Voordelen: Kunnen zowel binnen groep onderneming als in overeenkomsten met derden gebruikt worden en het is een gemakkelijke weg om rechtmatige gegevensuitwisseling te realiseren. Voorafgaande goedkeuring door autoriteiten is niet vereist indien de modelcontractbepalingen letterlijk overgenomen worden.

Nadelen: Voor elke categorie gegevens dient een nieuw contract gesloten te worden en in veel EU-lidstaten geldt een meldplicht. De naleving van de contractbepalingen is lastig te garanderen, aangezien Europese toezichthouders geen handhavingsmaatregelen kunnen nemen in Amerika.

Toestemming of anonimisering

Een andere mogelijkheid om rechtsgeldig gegevens te delen met de Verenigde Staten, is wanneer het individu hier expliciet toestemming voor heeft gegeven of wanneer de data geanonimiseerd is. Anonimisering wil zeggen dat alle persoonlijke componenten waarmee een individu geïdentificeerd

Safe Harbor verdrag (oud)

Tot 6 oktober 2015 gold het Safe Harbor verdrag. In 2000 bepaalde de Europese Commissie dat indien bedrijven in derde landen zich hielden aan de opgestelde EU-US Safe Harbor principes, dit gold als adequate bescherming. Bedrijven die hierbij aangesloten waren, werden daarom geacht voldoende privacy-maatregelen te nemen, waardoor gegevensoverdracht mogelijk was zonder extra overeenkomsten te hoeven sluiten.

De Oostenrijker Max Schrems kwam erachter dat alhoewel Facebook was aangesloten bij het Safe Harbor verdrag, zij de privacy van Europese inwoners schond, door persoonlijke data van gebruikers door te sluizen naar de Amerikaanse overheid.  Max Schrems nam de zaak naar het Europese Hof van Justitie (HvJ) en stelde dat het Safe Harbor systeem het recht op privacy en gegevensbescherming schond. Het HvJ oordeelde op 6 oktober 2015 inderdaad dat het Safe Harbor systeem gebrekkig was en niet langer gold, om de volgende redenen:

  • Het systeem stond overheidsbemoeienis toe;
  • Het systeem bood onvoldoende beroepsmogelijkheden voor individuen die hun data wilden inzien, wijzigen of verwijderen;
  • Het systeem weerhield nationale toezichthoudende autoriteiten van het uitoefenen van hun bevoegdheden.[1]

Privacy Shield verdrag (nieuw)

Na deze uitspraak kwamen veel Amerikaanse bedrijven in het nauw: Zij hadden zich aangesloten bij het Safe Harbor verdrag, maar nu boden zij niet langer een adequate bescherming volgens de EU-standaarden, waardoor de gegevenskraan vanuit de EU dichtgedraaid kon worden. Bedrijven werden gedwongen om modelcontractbepalingen of Binding Corporate Rules te implementeren. Om dit probleem op te lossen, heeft de Europese Commissie op 12 juli 2016 het EU-US Privacy Shield goedgekeurd. Deze nieuwe overeenkomst bevat onder andere:

  • Data beschermingsverplichtingen (zoals het aanstellen van een contactpersoon bij vragen over de bescherming van persoonsgegevens) voor bedrijven die persoonlijke data ontvangen vanuit de EU;
  • Waarborgen voor toegang tot gegevens door de overheid van de Verenigde Staten;
  • Effectieve bescherming en beroepsmogelijkheden voor individuen;
  • Jaarlijkse beoordeling door de Europese Commissie en de United States Department of Commerce om de implementatie te controleren.

Met het Privacy Shield zijn aldus de problemen die het HvJ identificeerde in de Safe Harbor overeenkomst, aangepakt. Inmiddels hebben ruim 500 bedrijven zich aangesloten bij het Privacy Shield.

Verschillende privacy organisaties zijn van mening dat het Privacy Shield onvoldoende waarborgen biedt om in een veilige gegevensdoorgifte te kunnen waarborgen. Dit komt onder andere doordat in het nieuwe verdrag, ‘mass surveillance’ door de Amerikaanse overheid niet wordt uitgesloten. Max Schrems heeft zich ook over het nieuwe verdrag uitgelaten: volgens hem komt het niveau van bescherming dat in de Verenigde Staten wordt geboden niet overeen met de Europese vereisten.

Of het verdrag daadwerkelijk voldoende waarborgen biedt, valt dus nog te bezien. Het verdrag is nog niet ter discussie gesteld bij een rechter, waardoor het nog onbekend is of het verdrag juridische procedures kan doorstaan.

 

Conclusie

Er zijn een aantal wijzen waarop rechtsgeldig persoonlijke gegevens gedeeld kunnen worden met bedrijven in de Verenigde Staten. Dit kan onder andere door Binding Corporate Rules te implementeren en Modelcontractbepalingen die goedgekeurd zijn door de Europese Commissie op te nemen in de overeenkomst. Een andere mogelijkheid is toestemming  verkrijgen van de individuen of anonimisering van de gegevens. Tot slot kan een Amerikaans bedrijf zich aansluiten bij het Privacy Shield verdrag. Aan elk van deze opties kleven voordelen en nadelen. Aangezien het Privacy Shield verdrag nog maar een half jaar bestaat, valt het nog te bezien of het daadwerkelijk voldoende waarborgen biedt. Het verdrag is nog niet ter discussie gesteld bij een rechter, waardoor het nog onbekend is of het verdrag juridische procedures kan doorstaan.

Heeft u vragen over de verwerking van persoonsgegevens, of andere vragen over privacy? Neem dan gerust contact met ons op!

 


[1] Hof van Justitie 6 oktober 2015, Case C-362/14.