De bescherming van persoonsgegevens en privacy zijn onderwerpen die de afgelopen tijd steeds meer aandacht genieten. Zo is de meldplicht datalekken per 1 januari jl. in Nederland in werking getreden, kan de Autoriteit Persoonsgegevens per die datum een bestuurlijke boete van maximaal 820.000 euro op leggen (of 10% van de jaaromzet als 820.000 euro geen passende boete is) en is de nieuwe Europese privacyverordening bijna gereed. De meest belangwekkende gebeurtenis van de afgelopen vier maanden is echter de ongeldigverklaring van het Safe Harbour-regime door het Hof van Justitie van de Europese Unie (EU) in de Schrems zaak. Sinds het begin van oktober 2015 heeft dit voor de nodige onzekerheid gezorgd ten aanzien van de doorgifte van persoonsgegevens naar de Verenigde Staten (VS). Op 2 februari jl. is bekend gemaakt dat er overeenstemming is bereikt over een nieuwe regeling voor de doorgifte van persoonsgegevens van de EU naar de VS: het ‘EU-US Privacy Shield’. Brengt dit een einde aan de onzekerheid?

De huidige Europese privacyrichtlijn bepaalt dat de doorgifte van persoonsgegevens naar een land buiten de EU niet is toegestaan, tenzij dat land een passend beschermingsniveau biedt. Een dergelijk beschermingsniveau is in de VS niet aanwezig, maar op 26 juli 2000 besloot de Europese Commissie bij wijze van beschikking dat doorgifte van persoonsgegevens naar organisaties in de VS is toegestaan, mits deze organisaties zich verbinden aan de Safe Harbour Privacy Principles. Dit is het zogeheten Safe Harbour-regime. Dit regime werd veelvuldig gebruikt om de doorgifte van persoonsgegevens naar de VS te legitimeren.

Op 6 oktober 2015 heeft het Europees Hof van Justitie in de Schrems zaak geoordeeld dat de Safe Harbour-beschikking ongeldig is. Het Hof oordeelde onder meer dat onder het Safe Harbour-regime:

  • vergaande uitzonderingen op de bescherming van persoonsgegevens waren (onbeperkte toegang van de Amerikaanse overheid tot persoonsgegevens, onder meer in het belang van rechtshandhaving en nationale veiligheid);
  • de bevoegdheden van nationale privacytoezichthouders werden ingeperkt; en
  • er niet werd voorzien in administratieve of juridische rechtsmiddelen voor de betrokkenen.

Als gevolg van de ongeldigverklaring werd de doorgifte van persoonsgegevens naar de VS op grond van dit regime per direct onrechtmatig. Er zijn alternatieven, zoals EU Model Clauses, Binding Corporate Rules of het vragen van toestemming van betrokkenen, maar de implementatie daarvan vergt tijd (en expertise). Overigens geldt voor deze alternatieven dat zij niet altijd een passende of werkbare oplossing bieden[1] en dat het niet is uitgesloten dat zij hetzelfde lot kunnen ondergaan als de Safe Harbour-beschikking.[2]

Op 2 februari jl., een aantal dagen na afloop van de (officieuze) ‘gratie-periode’ van de Artikel 29-werkgroep[3], heeft de Europese Commissie bekend gemaakt dat er overeenstemming is bereikt met de VS ten aanzien van een nieuwe regeling voor de doorgifte van persoonsgegevens van de EU naar de VS: het ‘EU-US Privacy Shield’. Het conceptbesluit met onderliggende documentatie zal binnen drie weken worden voorgelegd aan de Europese privacytoezichthouders. Zij zullen beoordelen of het EU-US Privacy Shield voldoet aan de eisen van het Europees Hof van Justitie. Hoelang deze beoordeling precies zal duren, is niet duidelijk, maar de verwachting is tot eind april 2016. Pas daarna kan de implementatie echt beginnen.

Het akkoord geeft een positief signaal af. Het benadrukt dat overheden het belang inzien van datastromen van en naar de Europese Unie en is dus een belangrijke stap in onzekere tijden. De champagne kan echter beter nog niet worden geopend. Het is erg waarschijnlijk dat het EU-US Privacy Shield zal worden aangevochten en de implementatie zal tijd vergen. De Artikel 29-werkgroep heeft een dag na de bekendmaking van het akkoord reeds aangegeven nog steeds de nodige zorgen te hebben met betrekking tot de wetgeving in de VS en zullen het EU-US Privacy Shield zorgvuldig bekijken.

We zullen maanden verder zijn voordat het EU-US Privacy Shield kan worden gebruikt voor de doorgifte van persoonsgegevens naar de Verenigde Staten. In de tussentijd zullen alternatieven moeten worden geïmplementeerd. Let op: er bestaat een risico dat de rechtsgeldigheid van die alternatieven ook zal worden aangevochten. Eén ding is zeker: het stof dat de Schrems zaak heeft doen opwaaien, is nog lang niet neergedaald.

Over de auteur:

Nikolai de Koning

Nikolai de Koning

Nikolai de Koning is advocaat bij Norton Rose Fulbright LLP. Hij specialiseert zich in de bescherming van persoonsgegevens, privacy en financiële toezichtwetgeving. Advies in het kader van doorgifte van persoonsgegevens buiten de EU (door onder andere internationale en nationale gereguleerde instellingen) tot een van zijn bijzondere aandachtsgebieden.

[1] Toestemming van de betrokkenen kan als gevolg van een gebrek aan balans tussen de verantwoordelijke en betrokkene worden geacht niet ‘vrijelijk te zijn gegeven’ en/of het is in de praktijk lastig om bij de doorgifte van persoonsgegevens op grote schaal toestemming te verkrijgen en betrokkenen de mogelijkheid te bieden om hun toestemming weer in te trekken. 
[2] Er bestaat bijvoorbeeld een risico dat de nationale privacytoezichthouders in Europa kunnen oordelen dat, gelet op de Amerikaanse wetgeving en surveillance praktijken, de Verenigde Staten niet voldoet aan de Europese standaarden en dat doorgifte van persoonsgegevens op basis van EU Model Clauses moeten worden opgeschort.
[3] De Artikel 29-werkgroep, het onafhankelijke advies- en overlegorgaan van Europese privacytoezichthouders, heeft in medio oktober 2015 een gratieperiode tot 31 januari 2016 afgekondigd waarin ze in principe niet zullen handhaven. Daarmee werd organisaties de kans geboden om alternatieve oplossingen te vinden en te implementeren.