Streep door Safe Harbour-overeenkomst

Terug naar articles

6 oktober, 2015

Al maanden werd er over gespeculeerd, maar vanochtend werd duidelijkheid verschaft: het Europese Hof van Justitie in Luxemburg verklaarde de Safe Harbour-overeenkomst tussen de Verenigde Staten en de EU ongeldig. Daarnaast oordeelde het Hof dat de nationale autoriteiten voor databescherming het recht hebben gegevensuitwisselingen naar de Verenigde Staten te onderzoeken en op te schorten. Dit oordeelde het Hof in de zaak tussen de Oostenrijkse student Max Schrems en de Ierse autoriteit voor databescherming. Hieronder treft u een analyse van deze uitspraak en haar mogelijke gevolgen aan.

Safe Harbour
In de Europese richtlijn over de bescherming van persoonsgegevens zijn regels opgenomen voor het overdragen van persoonsgegevens van Europese burgers naar landen buiten de Europese Economische Ruimte (EER). Het doel van deze regels is het waarborgen dat de persoonsgegevens in dit ‘derde land’ voldoende bescherming genieten. In 2000 is de Safe Harbour-beschikking door de Europese Commissie vastgesteld om de overdracht van persoonsgegevens tussen de EU en de VS te vergemakkelijken. De beschikking stelt bepaalde voorwaarden waaraan Amerikaanse bedrijven moeten voldoen. Als voldaan wordt aan deze voorwaarden, wordt verondersteld dat het Amerikaanse bedrijf een adequaat beschermingsniveau aan persoonsgegevens biedt en mag het bedrijf gegevens van Europeanen verwerken.

Kritiek op Safe Harbour en start van de procedure
De Oostenrijker Max Schrems betoogt echter dat de onthullingen van Snowden in 2013 aantoonden dat zijn gegevens niet veilig waren in de VS. De student maakte daarop een zaak aanhangig, waarin hij bezwaar maakte dat de Ierse dochteronderneming van Facebook zijn gegevens overdroeg aan servers in de VS. De Ierse privacy-toezichthouder wees zijn zaak af en stelde dat de Safe Harbour-overeenkomst een onderzoek uitsluit, aangezien de beschikking waarborgt dat de VS voldoende bescherming voor persoonsgegevens biedt. De zaak ging door naar de Ierse High Court, die vervolgens het Europese Hof van Justitie vroeg te beslissen of een dergelijke beschikking de nationale toezichthouders daadwerkelijk mag tegenhouden internationale gegevensoverdrachten te onderzoeken of stoppen. Die vraag is in het advies van de advocaat-generaal negatief beantwoord.

Advies van de Advocaat-Generaal
Een advocaat-generaal geeft onafhankelijk advies in rechtszaken voor het Europese Hof van Justitie. Na uitgebreid onderzoek legt de advocaat-generaal zijn conclusie voor aan het Hof. Het is dan aan het Hof om te beslissen of ze de conclusie van de advocaat-generaal volgen. In zijn advies in deze zaak stelt advocaat-generaal Bot dat beschikkingen van de Europese Commissie er niet voor mogen zorgen dat de bevoegdheden en onafhankelijkheid van toezichthouders worden ingeperkt. De Ierse toezichthouder had dus mogen beoordelen of de gegevensoverdracht naar de VS moet stoppen. Vervolgens stelt de advocaat-generaal dat het Europese Hof ook moet onderzoeken of de Safe Harbour-overeenkomst wel geldig is. Hij stelt dat kan worden vastgesteld dat de Amerikaanse inlichtingendiensten op grote schaal persoonsgegevens verzamelen, zonder dat Europese burgers voldoende rechterlijke bescherming krijgen. Volgens hem is de Safe Harbour-beschikking daarom ongeldig.

Uitspraak van het Hof en mogelijke consequenties van dit oordeel
Het Europese Hof van Justitie volgt in de uitspraak het advies van advocaat-generaal Bot. Het Hof is met Bot van oordeel dat de gegevens onvoldoende beschermd zijn doordat bedrijven in de VS onder sommige omstandigheden verplicht zijn de Europese databeschermingswetgeving te negeren. De VS legt bedrijven deze verplichting ter waarborging van onder meer de eigen nationale veiligheid. Het Hof stelt bovendien dat een systeem dat het de Amerikaanse autoriteiten mogelijk maakt toegang te krijgen tot de inhoud van elektronische communicatie in strijd is met de essentie van het fundamentele recht op eerbiediging van het privéleven. Aangezien EU-burgers tegen het verdere gebruik van hun gegevens niet in beroep kunnen gaan bij een rechter, wordt bovendien de essentie van het fundamentele recht op effectieve rechtsbescherming geschonden. Tenslotte oordeelt het Hof ook dat de Europese Commissie niet bevoegd is de jurisdictie van nationale privacy waakhonden in te perken. Dit laatste betekent dat in Nederland het College Bescherming Persoonsgegevens (CBP) kan beslissen dat persoonsgegevens van Nederlanders niet meer in datacentra in de VS mogen worden opgeslagen. Dit kan grote gevolgen hebben voor Amerikaanse bedrijven, zij zullen dan eigen datacentra in Europa moeten oprichten voor Europese persoonsgegevens.

Het is nog even afwachten wat de exacte gevolgen van deze uitspraak zullen zijn. Op dit moment lijkt het er in ieder geval op dat de Europese Commissie de Safe Harbour-overeenkomst met de VS direct zal moeten opschorten, aangezien het Hof niet over een overgangsperiode spreekt. Daarnaast werpt deze uitspraak vragen op over de toepasselijkheid van de zogenaamde ‘binding corporate rules’. Deze zullen waarschijnlijk ook herzien moeten worden. Bovendien kan deze uitspraak gevolgen hebben voor de nieuwe Safe Harbour-overeenkomst waar de EU en de VS momenteel over onderhandelen.

,

Gerelateerde blogs

Algemene Verordening Gegevensbescherming | Considerati

De Algemene Verordening Gegevensbescherming: de rol van de bewerker

De aankomende Algemene Verordening Gegevensbescherming (AVG) is één van de meest veelbesproken...

Lees meer

Ransomware | Considerati

Consultatievoorstel Cybersecuritywet gepubliceerd: de aankomende meldplicht cybersecurity

Deze maand is de Cybersecuritywet in consultatie gebracht. Deze wet implementeert de EU Richtlijn...

Lees meer

Op de hoogte blijven?

Schrijf je dan in voor onze nieuwsbrief. Zie ons privacy statement.