icon

Hoezo Safe Harbor?

U heeft het vast al meegekregen: de Oostenrijkse student Max Schrems heeft het deze week voor elkaar gekregen dat data die persoonsgegevens bevatten niet langer gemakkelijk in Amerika kunnen worden gestald. In een door hem uitgelokte uitspraak (samenvatting met link naar volledige tekst) heeft het Hof van Justitie van de Europese Unie (HvJEU) dinsdag de zogenaamde “Safe Harbor” beschikking van de Europese Commissie ongeldig verklaard. Wat heeft het een met het ander te maken; hoe zit dit in elkaar?

De Europese Privacyrichtlijn bepaalt in artikel 25 dat persoonsgegevens van EU-onderdanen niet zomaar mogen worden doorgegeven naar landen buiten de EU. Daar werkt die Richtlijn, die de privacy van de burgers moet beschermen, immers niet. Er is een uitzondering: doorgifte mag wél als dat derde land een “passend beschermingsniveau” voor de privacy heeft.
Maar hoe weet je nu of zo’n derde land (bijvoorbeeld de Verenigde Staten) zo’n passend beschermingsniveau heeft? Welnu: onder andere wanneer de Commissie van de EU dat op basis van een bepaalde procedure heeft vastgesteld. En voor de Verenigde Staten heeft de Commissie dat op 26 juli 2000 inderdaad gedaan, in de zogenaamde ”Safe Harbor-beschikking”. De naam verwijst naar een in de VS bestaand concept van privacybescherming, waar bedrijven en organisaties vrijwillig aan kunnen voldoen (veel bedrijven doen dat: klik hier voor een lijst.) De beschikking van de Commissie bepaalt nu, dat wanneer een Amerikaans bedrijf aan die Safe Harbor voorwaarden voldoet, het voor de EU vereiste “passende beschermingsniveau” aanwezig is.

De Commissie mocht dat vinden; student Schrems dacht daar anders over. Volgens hem hadden de onthullingen van Edward Snowden namelijk wel duidelijk gemaakt dat de Amerikaanse inlichtingendiensten zich niets van die Safe Harbor voorwaarden aantrekken. Met als gevolg dat deze feitelijk niet werken er dus geen passend beschermingsniveau aanwezig is. Schrems verzette zich dan ook tegen het feit dat het Ierse hoofdkwartier van Facebook onder de werking van de Safe Harbor beschikking zijn persoonsgegevens doorgaf aan het moederbedrijf Facebook Inc. in de VS. Doordat het Ierse High Court of Justice over deze kwestie vragen van uitleg stelde aan het HvJEU, kon vervolgens de uitspraak die nu zoveel ophef heeft veroorzaakt worden gewezen.

Het Hof oordeelt allereerst dat het bestaan van een beschikking van de Commissie over het bestaan van een passend beschermingsniveau in een bepaald derde land, de bevoegdheden van de nationale toezichthouders, niet teniet kan doen of kan beperken. Dus: zelfs als er zo’n beschikking is, blijven die privacyautoriteiten verplicht om in volledige onafhankelijkheid te onderzoeken of de doorgifte van de persoonsgegevens naar het betreffende land in overeenstemming is met de Richtlijn. In zoverre is de beschikking van de Commissie volgens het HvJEU niet in orde, want die beperkt die bevoegdheid wel. Overigens kan zo’n nationale privacy-autoriteit de beschikking niet zelf opzij schuiven: dat kan alleen de rechter. Dus als de privacyautoriteiten constateren dat het beschermingsniveau onvoldoende is moeten ze naar de nationale rechter (en die moet zo nodig weer naar het HvJEU) om zo’n beschikking van tafel te krijgen.

Hier was het dan wel niet zo’n privacyautoritiet die aan de bel heeft getrokken, maar een eenvoudige burger van de EU. Dat weerhoudt het Hof er echter niet van de Safe Harbor beschikking onder de loep te nemen.

Het Hof constateert allereerst dat de Amerikaanse Safe Harbor regeling niet geldt voor overheidsinstanties van de VS. Bovendien moeten de bedrijven die er wel aan gebonden zijn van de privacyregels afwijken als de nationale veiligheid, het openbaar belang en de rechtshandhaving in de Verenigde Staten dat eisen. En het is uit de beschikking niet duidelijk of er in de VS regels bestaan die in zo’n geval inbreuk op de grondrechten (privacy) moeten beperken of dat daar doeltreffende rechtsbescherming tegen bestaat.

Vervolgens constateert het HvJEU dat de Commissie zelf in 2013 al had geconstateerd dat de autoriteiten van de VS zich toegang konden verschaffen tot de persoonsgegevens die uit de EU lidstaten kwamen en daar dingen mee konden doen die verder gingen dan het doel waarvoor de gegevens waren verkregen en ook verder dan strikt noodzakelijk en evenredig was voor de bescherming van de nationale veiligheid. Dit terwijl er voor de betrokkenen geen beroepsmogelijkheden waren om toegang tot de gegevens te krijgen of om die te doen rectificeren of wissen.

Het Hof windt verder ook geen doekjes om wat zij nu eigenlijk vindt van het Amerikaanse beschermingsniveau. Het Hof: “[… E]en regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie [moet] worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven zoals door artikel 7 van het Handvest [van Grondrechten van de Europese Unie, LB] gewaarborgd.”
[…]
Evenzeer eerbiedigt een regeling die niet in enige beroepsmogelijkheid voor de justitiabele voorziet om toegang tot de hem betreffende persoonsgegevens te verkrijgen, of rectificatie of verwijdering van die gegevens, de wezenlijke inhoud van het grondrecht op een effectieve voorziening in rechte zoals neergelegd in artikel 47 van het Handvest niet. Artikel 47, eerste alinea, van het Handvest schrijft immers voor dat eenieder wiens door het recht van de Unie gewaarborgde rechten en vrijheden zijn geschonden, recht heeft op een doeltreffende voorziening in rechte, met inachtneming van de in dit artikel gestelde voorwaarden. Dat effectieve rechterlijke toetsing bestaat om de naleving van de bepalingen van Unierecht te verzekeren, is inherent aan het bestaan van een rechtsstaat.

Hatsee. Dat kunnen ze in Washington in hun zak steken. De Amerikaanse Onafhankelijkheidsoorlog werd voor minder uitgeroepen 🙂
Maar hoe dan ook: de conclusie van het Hof is dat onder de Safe Harbor regels in de VS geen passend niveau van bescherming van persoonsgegevens aanwezig is ten opzichte van de bescherming die in Europa wordt geboden. De Beschikking (die het omgekeerde inhoudt) is dus niet in overeenstemming is met het daarvoor geldende wettelijke kader (lees: die Safe Harbor regeling had nooit als een passend beschermingsniveau mogen worden aangemerkt). Het HvJEU verklaart de Beschikking daarom ongeldig.

Wat zijn wij toch bevoorrecht in Europa dat wij al die bescherming en toegang tot de rechter wel hebben! Menig lezer van de uitspraak zal een zeker Europees superioriteitsgevoel met moeite kunnen onderdrukken. Maar intussen is wel de belangrijkste basis ontvallen aan het kunnen doorgeven van persoonsgegevens aan Amerikaanse bedrijven en instellingen. Hoe moet dat nu verder?

De Privacyrichtlijn noemt in artikel 26 wel gevallen waarin het nog steeds kan, zoals:
– ondubbelzinnige toestemming van de betrokkene;
– noodzaak voor de uitvoering van een overeenkomst tussen de verantwoordelijke en de betrokkene (of een derde, ten behoeve van de betrokkene) – maar deze oplossing zie ik voor Facbook niet snel resultaat bieden: dat verwerken kan ook best binnen de EU;
– noodzaak of wettelijke plicht vanwege een zwaarwegend algemeen belang, etc. (dat zie ik nog wel succes hebben voor bijvoorbeeld de doorgifte van passagiersgegevens)

Daarnaast bestaan er “EU Model Clauses” die, indien letterlijk overgenomen in een contract met een bedrijf in een derde land (nu dus: de VS) een passend beschermingsniveau opleveren. Die kunnen vooral in het handelsverkeer een oplossing bieden.

Heeft u vragen?

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Hoezo Safe Harbor?

Schrijf u in voor onze nieuwsbrief

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Schrijf u in voor onze nieuwsbrief