Geen alternatieven voor Safe Harbour?!

Het Safe Harbour Agreement is ongeldig. De andere bekende manieren om PI (persoonlijke informatie)-gegevens te exporteren naar de USA zijn waarschijnlijk ook niet toekomstvast. Een korte analyse.

Uit de uitspraak van het Europese Hof van Justitie is, onder meer, het volgende op te maken:

  • Europese landen dienen de export van PI buiten de EU tegen te houden als het importerende land niet kan garanderen dat de PI minstens even goed beschermd wordt als binnen de EU;
  • De principes van proportionaliteit, subsidariteit en doelbinding zijn de basis waarmee bepaald kan worden of de bescherming goed (“adequaat”) is;
  • Verschillende instellingen binnen de USA, zoals de NSA en de FBI, kunnen en mogen onder de wetgeving van de USA alle PI van een ieder, ook Europeanen, integraal in een “sleepnet” opvragen;
  • Bovenstaande twee bullets conflicteren met elkaar.

Het Hof concludeerde dan ook dat de Safe Harbour afspraken niet geldig waren.

Er zijn/waren naast het Safe Harbour Agreement drie andere manieren om PI gegevens legaal uit de EU naar de USA te exporteren:

  1. Op basis van geïnformeerde en vrijelijk gegeven toestemming van het data-subject;
  2. Op basis van Binding Corporate Rules (waarmee internationale bedrijven intern afspraken kunnen maken met regels die door een Europese Privacy Autoriteit vooraf zijn goedgekeurd);
  3. Op basis van Standaard Clausules (door een Europese Privacy Autoriteit goedgekeurde clausules die bedrijven in de verwerkings-keten in de onderlinge contracten kunnen opnemen).

De logica die het Europese Hof van Justitie hanteerde om het Safe Harbour Agreement ongeldig te verklaren, is ook van toepassing op deze drie andere manieren. Deze drie manieren zijn alleen (nog) niet ongeldig verklaard. De reden hiervan is mogelijk dat Facebook, een partij in deze zaak, alleen gebruik van maakte van het Safe Harbour Agreement. De andere manieren zijn dan simpelweg niet in de uitspraak meegenomen.

Deze drie andere manieren van export kunnen ook aangevochten worden. Met zeer waarschijnlijk dezelfde uitkomst als bij het Safe Harbour Agreement: zij zijn een ongeldige basis voor de export van PI naar de USA. Dat maakt dat er op dit moment eigenlijk geen goede alternatieven zijn om PI legaal naar de USA te exporteren….

 

Over de auteur

Boudewijn de Graaf
Kerndocent studierichting Business & IT Management Hogeschool Rotterdam, eigenaar van Kronenbeeck.nl, zelfstandig consultant gespecialiseerd in Privacy Management. Brede veranderkundige, bestuurskundige, organisatiekundige en ICT achtergrond.