Nadat eerst de Safe Harbor- en vervolgens de Privacy Shield-overeenkomsten juridisch onderuit werden gehaald, zijn contractuele relaties met gegevensoverdrachten tussen de EU en de VS gebaseerd op zogeheten modelcontractbepalingen. Maar zelfs deze kunnen op enig moment weer ongedaan worden gemaakt.
De afschaffing van de Privacy Shield overeenkomst (zie kader) heeft veel vaart gebracht in de juridische beoordeling van samenwerking met cloud providers uit niet-EU landen, dat wil zeggen voornamelijk de VS. “Bij Gridscale merkten we dit aan de vraag naar onze oplossingen, die nu ISO-27001- en ISO-27018-gecertificeerd zijn, maar ook aan het aantal downloads van een 24 pagina’s tellende paper over het onderwerp, die we gratis beschikbaar stellen”, meldt Henrik Hasenkamp, CEO, Gridscale.
De genoemde whitepaper “Juridische risico’s bij het gebruik van internationale cloudproviders” is opgesteld in samenwerking met het advocatenkantoor “Heuking Kühn Lüer Wojtek” en gaat in op juridische problemen met persoonsgegevens die zich hier kunnen voordoen, bijvoorbeeld met de belastingdienst, de ondernemingsraad, de AGB-wet en andere gebieden. “Om de problemen te begrijpen, moet je eigenlijk beginnen bij de Safe Harbor Agreement, die in 2015 werd afgeschaft,” werkt Hasenkamp uit. “De rechters van het Hof presenteerden destijds een lange lijst van tekortkomingen en besloten dat de overeenkomst tegen deze achtergrond niet geldig kon zijn”. Een kernpunt van kritiek was dat een persoonlijk betrokkene geen praktische manier heeft om de rechten af te dwingen waarop hij of zij in verband met persoonsgegevens aanspraak kan maken. Daarnaast wordt de doorgifte van gegevens aan inlichtingendiensten en autoriteiten als een probleem gezien.
De EU werd vervolgens tot actie gedwongen en trok het “Privacy Shield” uit de hoge hoed.
“Het kwam zoals het moest komen”
Hasenkamp beschrijft zijn perspectief: “Bij de invoering was echter al duidelijk dat de centrale punten van kritiek met betrekking tot de afdwingbaarheid van rechten niet waren opgehelderd. “Nu kwam het zoals het moest komen: na een hernieuwd onderzoek werd vastgesteld dat persoonlijk getroffen personen uit de EU de genoemde rechten in de praktijk niet kunnen afdwingen bij de Amerikaanse justitie en dat de geheime diensten nog steeds zeer liberale toegang hebben tot gegevens, zodat het Privacy Shield nu ook is teruggedraaid,” aldus de Gridscale CEO. Een Ierse rechtbank had eerder bij het EHvJ twijfels geuit over de doeltreffendheid van het Privacy Shield. Het Hof van Justitie heeft deze overeenkomst nu ongedaan gemaakt omdat het van mening is dat de rechten van EU-burgers worden geschonden door de maatregelen die de veiligheidsautoriteiten van de VS hebben genomen. Deze hebben vergaande bevoegdheden om toegang te krijgen tot gegevens – ook die van EU-burgers.
De modelcontractbepalingen van de EU
Vooralsnog kan samenwerking met bedrijven die in het buitenland persoonsgegevens verwerken, bijvoorbeeld in de VS, worden gebaseerd op de modelcontractbepalingen van de EU. In dat geval moeten geen intergouvernementele overeenkomsten zoals Safe Harbor of het Privacy Shield de rechten van de gebruikers beschermen, maar overeenkomsten tussen contractuele partners. Hasenkamp wijst op een belangrijk aspect hiervan: “Aangezien we niet te maken hebben met een intergouvernementele overeenkomst, maar met contractuele relaties tussen individuele bedrijven, is het aanzienlijk moeilijker om deze ongeldig te verklaren.”
Aanvullende informatie over het onderwerp
De crux van gegevensoverdracht
Het Europees Hof van Justitie (HvJ) heeft op 16 juli uitspraak gedaan in de zaak “Schrems II” (C-311/18): Het Privacy Shield, dat tot nu toe de doorgifte van gegevens tussen de EU en de VS regelde, is nu ongeldig. Dit heeft verstrekkende gevolgen. Eerst het goede nieuws voor bedrijven: Hoewel het Hof van Justitie de trans-Atlantische overeenkomst inzake gegevensbescherming nietig heeft verklaard, blijven de betwiste modelcontractbepalingen van de EU, die als rechtsgrondslag dienen voor de doorgifte van gegevens naar alle landen buiten de EU, van kracht. Dit is van belang voor alle bedrijven die persoonsgegevens doorgeven aan niet-Europese landen – en dus ook aan de VS. Zonder de modelcontractbepalingen van de EU-Commissie zou de hele mondiale doorgifte van gegevens immers tot stilstand zijn gekomen. Toch wordt de koers voor gegevensoverdracht van de EU naar de VS (opnieuw) uitgezet, want na Safe Harbor in 2015 heeft het HvJ ook de opvolgerovereenkomst Privacy Shield ongeldig verklaard voor trans-Atlantische gegevensuitwisseling.
http://bit.ly/PrivacyShield-1
Het knelpunt van de commissarissen voor gegevensbescherming
Op langere termijn liggen volgens Hasenkamp echter ook de modelcontractbepalingen van de EU voor het oprapen: “Ik ga ervan uit dat vroeg of laat klachten over de omgang met persoonsgegevens zullen worden gemeld en dat de kwestie van het gebrek aan afdwingbaarheid van rechten met betrekking tot persoonsgegevens dan opnieuw aan de orde zal komen via de instelling van commissarissen voor gegevensbescherming. De stemmen van de individuele commissarissen voor gegevensbescherming zijn al te horen.”
De kwestie heeft ook geopolitieke dimensies. Gaia-X is bedoeld om een “Europese wolk” te bevorderen, maar parallel daaraan wordt gewerkt aan vervolgovereenkomsten met de VS.