Amerikaanse bedrijven niet langer veilige haven voor Europese persoonsgegevens

Het gevolg van dit arrest is dat ook bestaande overeenkomsten die op de uitwisseling van persoonsgegevens met Amerikaanse bedrijven zien onder omstandigheden moeten worden aangepast. Ik zal de uitspraak hier kort bespreken.

Harmonisering van de bescherming van persoonsgegevens

Het Europese Parlement en de Raad hebben Richtlijn 95/46/EG aangenomen om de regels omtrent de bescherming van persoonsgegevens binnen de EU te harmoniseren. De richtlijn bevat de voorwaarden waaronder de verzameling en verwerking van persoonsgegevens binnen de EU is toegestaan. Als een Europees bedrijf persoonsgegevens wil doorleveren aan een bedrijf dat in een niet-EU staat gevestigd is, dan moet het zich ervan vergewissen dat het niveau van bescherming van persoonsgegevens bij dat bedrijf passend is.

Safe haven beginselen

Om de samenwerking tussen bepaalde landen te vergemakkelijken heeft de Europese Commissie in 2000 een beschikking uitgegeven, waarin zij het zogenaamde beginsel van de veilige haven definieert. Dientengevolge konden Europese bedrijven gemakkelijk samenwerken met bedrijven uit de Verenigde Staten die overeenkomstig deze beschikking gecertificeerd waren. Het Amerikaanse bedrijf diende zich daarvoor bereid te verklaren een aantal beginselen van gegevensbescherming te respecteren. De Europese partner mocht er dan van uitgaan dat het bedrijf een passend beschermingsniveau biedt.

Schrems zaak

De Oostenrijker Schrems was het hier echter niet mee eens en heeft een zaak aangespannen tegen Facebook Ierland voor het doorgeven van zijn persoonlijke gegevens aan Facebook Inc. in de Verenigde Staten. Facebook Inc. was echter ook safe haven gecertificeerd en de klacht van Schrems werd in eerste instantie afgewezen. Sinds de onthullingen van Edward Snowden is het echter algemeen bekend dat de Amerikaanse inlichtingendiensten op grote schaal toegang hebben tot persoonsgegevens, waaronder ook gegevens die in Europa zijn verzameld. Bovendien is het toezicht op het gebruik van persoonsgegevens door de inlichtingendiensten niet toereikend. De Ierse High Court heeft in hoger beroep dan ook een aantal prejudiciële vragen aan het HvJ gesteld. Deze kwam op 6 oktober 2015 tot de conclusie dat ook bedrijven met een save haven certificering overeenkomstig de beschikking van de Commissie niet altijd een passend niveau van bescherming kunnen bieden. Het HvJ heeft de beschikking dan ook vernietigd.

Wat zijn de gevolgen hiervan?

Deze uitspraak is van grote invloed op de samenwerking tussen Europese en Amerikaanse bedrijven. Voordat een Europees bedrijf persoonsgegevens aan een Amerikaans bedrijf verstrekt dient het zich er immers van te vergewissen dat het bedrijf een passend beschermingsniveau kan bieden. Het zijn zeker niet alleen heel grote bedrijven die persoonsgegevens doorgeven aan Amerikaanse bedrijven, maar ook alle kleine bedrijven die hun klantenbestand in de Cloud  van een Amerikaans bedrijf opslaan bijvoorbeeld. Er zijn echter opties om alsnog op rechtmatige wijze persoonsgegevens aan Amerikaanse bedrijven te geven. Een daarvan is het vragen van toestemming aan de betroffen persoon. Dit is echter alleen praktikabel voor data die in de toekomst wordt verzameld en zal ook dan niet altijd even gemakkelijk zijn. Bedrijven kunnen er echter ook voor kiezen om gebruik te maken van de EU Model Clauses. Dat zijn standaard clausules, die als voldoende bescherming worden aangemerkt als zij in ongewijzigde form worden overeengekomen. Bovendien zal de Europese Commissie de safe haven beschikking moeten herzien. Het is te verwachten dat de Commissie wederom een certificeringssysteem ambieert om de gemakkelijke samenwerking tussen Europese en Amerikaanse bedrijven te waarborgen. Tot die tijd is het echter noodzaak om bestaande en toekomstige overeenkomsten met Amerikaanse bedrijven te controleren om er zeker van te zijn dat het geboden beschermingsniveau passend is. Dit geldt des te meer in verband met de wijzigingen van de Wet bescherming persoonsgegevens die vanaf 1 januari 2016 in werking zullen treden. Daarin wordt namelijk ook de bevoegdheid om boetes op te leggen van het College voor bescherming van persoonsgegevens uitgebreid.