Ondernemers, let op: voor iedereen die werkt met cloud diensten waarvan de leverancier gevestigd is in de Verenigde Staten is er nieuws over het omgaan met persoonsgevens. Dit geldt ook voor alle ondernemers of dienstverleners die werken met persoonsgegevens van klanten, werknemers en patienten. De rechter heeft begin oktober 2015 belangrijke uitspraken gedaan in het kader van Safe Harbour. Dr. Martin Beckmann is juridisch en technisch specialist op het gebied van bescherming van persoonsgegevens. Hij heeft de rechterlijke uitspraak en de consequenties ervan voor u ontrafeld, met nadruk op een viertal aspecten die tot nu toe in alle berichtgeving onderbelicht ebleven zijn: de enorme omvang van het probleem, de urgentie ervan, de wijdere impact van de uitspraak, en wat bedrijven en ondernemers nu moeten doen.
Op dinsdag 6 oktober jongstleden heeft het Hof van Justitie van de Europesee Unie een zeer belangrijke en opmerkelijke uitspraak gedaan over privacy en de bescherming van persoonsgegevens. In die uitspraak heeft het Hof de zg. Safe Harbour beslissing van de Europese Commissie ongeldig verklaard. Veel transfers van persoonsgegevens van de EU naar de Verenigde Staten waren alleen daarom legaal omdat ze op deze Safe Harbour beslissing van de Europese Commissie gebaseerd waren. Omgekeerd betekent dit natuurlijk ook dat al deze transfers nu
simpelweg illegaal zijn. Of het nu gaat om persoonsgegevens in een CRM-systeem gehost in de Verenigde Staten, het gebruik van emaildiensten van Amerikaanse providers, het hosten van
personeelsgegevens op servers in de Verenigde Staten, etc.: zolang de transfer van persoonsgegevens gebaseerd was op de Safe Harbour beslissing, is deze transfer nu niet meer toegestaan.
Over deze Safe Harbour uitspraak van het EU Hof van Justitie is al veel geschreven; ook over de consequenties ervan is al het een en ander gezegd. Er zijn echter een viertal aspecten die voor ieder bedrijf en iedere ondernemer die hiermee te maken heeft, van vitaal belang zijn, maar die tot nu toe onderbelicht gebleven zijn:
1)De enorme omvang van het probleem. Er zijn geen cijfers bekend over de hoeveelheden gegevens die met behulp van de Safe Harbour beslissing met de Verenigde Staten uitgewisseld zijn. Wat wel vaststaat is dat het om grote hoeveelheden gaat, en dat het om heel veel verschillende diensten gaat die door Amerikaanse dienstverleners aangeboden worden. Er zijn momenteel meer dan 5000 Amerikaanse bedrijven gecertificeerd volgens de Safe Harbour beslissing, en de diensten die zij aanbieden zijn zeer divers en worden gebruikt door zowel kleine als ook grote bedrijven. Al deze diensten, en alle Europese gebruikers ervan, worden door deze uitspraak geraakt. De ervaring leert bovendien dat veel bedrijven en ondernemers zich niet realiseren dat persoonsgegevens op veel plekken aanwezig zijn. Dat bijvoorbeeld een electronisch dossier van een personeelslid een persoonsgegeven vormt, zal geen verrassing zijn. Maar ook
gegevens met betrekking tot bestaande of potentiële klanten, opgeslagen in een CRM-systeem, zijn persoonsgegevens. Als een email informatie bevat over een geïdentificeerde of identificeerbare persoon, gaat het om persoonsgegevens, en dat betekent dat persoonsgegevens ook in email systemen zoals bijvoorbeeld Microsoft Office 365 opgeslagen zijn.
2)De urgentie van het probleem. De Europese toezichthouders hebben weliswaar geen harde deadline gesteld, maar er zijn duidelijke aanwijzingen voor dat vanaf eind januari 2016 bedrijven die hun bedrijfsvoering niet op deze nieuwe situatie aangepast hebben, hard aangepakt kunnen worden. Er zijn ook aanwijzingen dat toezichthouders verwachten dat
bedrijven niet achterover gaan leunen, maar pro-actief ervoor zo
rgen dat zij blijven voldoen aan alle wettelijke voorschriften. In dit verband moet eraan herinnerd worden dat vanaf 1
januari 2016 de boetes hiervoor in Nederland sterk gaan stijg
en: tot wel €810.000,-. Anders geformuleerd: berijven en ondernemers moeten nu actief worden als ze persoonsgegevens op welke manier ook naar de Verenigde Staten sturen.
3)De wijdere impact van deze uitspraak. Formeel is alleen de Safe Harbour beslissing ongeldig verklaard. Er zijn echter andere mogelijkheden voor legale transfers van persoonsgegevens naar de Verenigde Staten; als vervanging voor de Safe Harbour beslissing en de daaraan gekoppelde certificering van Amerikaanse dienstverleners zijn vooral de zg. Standard Contractual Clauses van belang.Hierbij gaat het om standaardclausules voor contracten tussen een (Europees) bedrijf en een (Amerikaanse) dienstverlener, die de verplichtingen van de dienstverlener met betrekking tot privacy vastleggen en die voor dit doel door de EU goedgekeurd zijn. Als voorbeeld kan de Microsoft Cloud voor bedrijven dienen: de
overeenkomst die voor het gebruik van bijvoorbeeld Microsoft Office 365 met bedrijven afgesloten wordt, bevat deze Standard Contractual Clauses.
Het probleem met deze Standard Contractual Clauses is dat de
argumenten die het EU Hof van Justitie gebruikt om de Safe Harbour beslissing ongeldig te verklaren, net zo zeer ook op
deze Standard Contractual Clauses van toepassing zijn. Minstens één Europese toezichthouder heeft al heel duidelijk gesteld dat zij deze Standard Contractual Clauses als
ongeldig beschouwen. Een aantal vooraanstaande juristen op het gebied van privacy en bescherming persoonsgegevens heeft ook aangegeven dat de Standard Contractual Clauses
feitelijk ongeldig zijn. Een onafhankelijke analyse uitgevoerd door Adviesbureau Beckmann B.V. bevestigt dit ook. En tenslotte: de Europese toezichthouders hebben aangekondigd dat zij precies dit punt nu gaan onderzoeken. Er is dus een risico dat de Standard Contractual Clauses binnenkort ook niet meer gebruikt kunnen worden om persoonsgegevens naar de
Verenigde Staten te versturen, en dat dus de impact van de Safe Harbour uitspraak van het EU Hof van Justitie nog veel groter zal zijn dan nu bekend.
Mocht inderdaad blijken dat ook de Standard Contractual Claus
es ongeldig zijn of ongeldig verklaard worden, dan zal het in de meeste situaties niet meer mogelijk zijn om persoonsgegevens op legale wijze naar de Verenigde Staten te verzenden. En dat betekent tenslotte dat bedrijven en ondernemers die tot nu toe dit wel gedaan hebben, andere
serviceproviders binnen de EU moeten vinden en de persoonsgegevens uit de Verenigde Staten terug moeten halen.
