Het zat er al een beetje aan te komen. Want er waren – ook injuridische zin – al lang twijfels over de robuustheid van Safe Harbor, afspraken tussen Europa en Amerika over verwerking van persoonsgegevens. Een uitspraak van het Europese Hof van Justitie haalt nu in een keer een streep door die afspraken. Wat is het gevolg van die uitspraak?

1. Welke beslissing van het Europese Hof zorgt nu voor alle ophef?
Het Europese Hof van Justitie heeft bepaald dat de Safe-Harborconstructie onvoldoende waarborgen biedt voor een beschermingsniveau van persoonsgegevens in het licht van de bepalingen van de Europese privacywetgeving en het Handvest van de Grondrechten van de ­Europese Unie, een soort Europese Grondwet.

2. Wat was de aanleiding van het Europese Hof van ­Justitie om zich hierover te buigen?
Aanleiding is een rechtszaak die Oostenrijker Max Schrems aanspande tegen Facebook. Schrems is van mening dat Facebook zijn recht op ­privacy onvoldoende respecteert. Na een crowdfundingactie diende Schrems in Ierland – waar Facebooks Europese hoofdkwartier staat – eerst een klacht in bij de Data Commissioner. Nadat deze de klacht had verworpen, legde Schrems die beslissing voor aan het Ierse Hooggerechtshof. De Ierse rechter legde als onderdeel van de procedure, het Europese Hof de vraag voor of de bescherming van de Safe-Harborbeginselen naar Europees recht een gepast niveau van privacybescherming bieden.

3. Wat behelst die Safe-Harborconstructie?
Vanwege het ontbreken van in Europese ogen passende privacywetgeving in de Verenigde Staten is export van persoonlijke gegevens van Europeanen naar de VS in principe verboden. De Safe-Harborconstructie die het Amerikaanse ministerie van Handel ontwikkelde in overleg met de Europese Commissie, biedt Amerikaanse bedrijven een uitweg. Safe Harbor specificeert een aantal principes die bedrijven moeten naleven om ervoor te zorgen dat hun omgang met persoonlijke gegevens in lijn is met de Europese Richtlijn 95/46/EC voor de bescherming van persoonsgegevens (die in Nederland omgezet is in de Wet bescherming persoonsgegevens). In 2000 oordeelde de Europese Commissie dat bedrijven die de Safe-Harborregels implementeren, daarmee voldoen aan de Europese regels. Op naleving van de regels is geen controle; Safe Harbor is een vorm van zelfregulering.

4. Wie maken daar gebruik van?
De Safe-Harborconstructie wordt gebruikt door Amerikaanse IT-bedrijven. Daarbij gaat het bijvoorbeeld om Facebook, Google en Microsoft, die gegevens van Europeanen verzamelen als onderdeel van hun webactiviteiten op de consumentenmarkt.

Maar de constructie wordt ook ­gebruikt door aanbieders van clouddiensten in de zakelijke markt. Bij gebruik van back-up in de cloud, software-as-a-service e.d. slaan organisaties immers vaak gegevens van hun klanten op in de rekencentra van de clouddienstverlener. Ook in Nederland gevestigde multinationals maken er gebruik van, om gegevens uit te kunnen wisselen met Amerikaanse nevenvestigingen. In totaal maken zo’n 4400 Amerikaanse ­IT-bedrijven gebruik van de Safe-Harborconstructie.

5. Waarom vindt het hof de garanties niet meer afdoende?
Het Europese Hof van Justitie oordeelt nu dat binnen het Amerikaanse juridische stelsel niet structureel iets geregeld is voor de toegang tot gegevens door de Amerikaanse overheid en zijn instellingen. Meer in het bijzonder stellen de rechters dat bij goedkeuring van Safe Harbor:

‘geen enkele vaststelling [is] gedaan ten aanzien van de vraag of er in de Verenigde Staten overheidsregels bestaan ter beperking van dergelijke inmengingen in de grondrechten van de personen van wie de gegevens vanuit de Unie naar de Verenigde Staten worden doorgegeven, waarbij geldt dat de overheidsinstanties van dat land tot een dergelijke inmenging mogen overgegaan wanneer zij legitieme doelstellingen, zoals de nationale veiligheid, nastreven. Daarbij komt het feit dat beschikking 2000/520 [zoals de erkenning van de Safe-Harbor-overeenkomst door de Europese Commissie ambtelijk bekend staat – red.] niets vermeldt over de vraag of er effectieve rechtsbescherming tegen dat soort ­inmengingen bestaat.’

Bij het ontbreken van effectieve rechtsbescherming – onder andere doordat niet-Amerikanen buiten Amerikaans grondgebied geen aanspraken op Amerikaanse constitutionele grondrechten kunnen maken – is de toestemming die de Europese Commissie verleende, strijdig met het Handvest van de grondrechten van de Europese Unie, en om die reden ongeldig.

6. Is deze uitspraak definitief?
Binnen het Europees rechtsstelsel is geen beroep meer mogelijk tegen deze uitspraak. Het Hof heeft ook geen overgangstermijn ingesteld. De uitspraak heeft onmiddellijke werking.

7. Is er een tussenoplossing in de maak?
Een noodverband is niet eenvoudig te leggen. De effectieve rechtsbescherming bij overheidsinmenging waar het Europese Hof over valt, is in de VS nog steeds niet naar Europese maatstaven geregeld is. De EU en de VS zijn daarover al jaren met elkaar in gesprek in het kader van een aanscherping van de afspraken ten aanzien van verantwoorde omgang met privacygevoelige data. Daar zat tot nog toe niet veel schot in. Door de uitspraak van het Hof zullen de Amerikanen wellicht toeschietelijker worden. Maar er zal nog geruime tijd overheen gaan voordat een nieuwe overeenkomst gesloten en goedgekeurd is.

8. Wat zijn de gevolgen van deze uitspraak?
Overbrengen van gegevens van Europeanen naar servers of opslagsystemen op Amerikaans grondgebied is met onmiddellijke ingang in strijd met het Europees recht, als daarvoor niet meer garanties bestaan dan in de Safe-Harborconstructie worden gegeven. De Facebooks en Googles van deze wereld zullen, met andere woorden, op andere wijze moeten garanderen dat persoonlijke gegevens van Europeanen privé blijven, ­bijvoorbeeld door ervoor te zorgen dat ze in Europese rekencentra verwerkt en opgeslagen worden. Ondenkbaar is zo’n constructie niet. In ­ieder geval Amazon en Microsoft bieden dat klanten van zijn clouddiensten al als optie aan, met name om tegemoet te komen aan de zorgen van overheidsorganisaties over opslag van publieke gegevens in de VS.

9. Hoe reageren betrokkenen?
De Amerikaanse minister van Handel Penny Pritzker toonde zich uitermate teleurgesteld. Volgens haar is de onzekerheid die deze uitspraak oplevert een risico voor de bloeiende transatlantische economie.

De Information Technology & Innovation Foundation, die eerder kritisch was op de Amerikaanse overheid wegens de schade van zijn afluisterpraktijken voor de Amerikaanse cloudindustrie, vindt de uitspraak een verkeerde reactie op begrijpelijke zorgen over de privacywaarborgen in de VS. ‘Op het met een bijl te lijf gaan van de onderzeese glasvezelkabels na kun je je moeilijk een ontwrichtender actie voor de transatlantische digitale handel voorstellen’, schrijft ITIF. ITIF roept op een voorlopige voorziening te treffen en vervolgens haast te maken met een Safe Harbor 2.0-overeenkomst die aan alle wensen voldoet. Daarvoor moet Amerika eerst wel zelf orde op privacyzaken stellen, meent de Amerikaanse brancheorganisatie voor clouddienstverleners, door meer helderheid over privacybescherming te geven, de regels voor veiligheidsonderzoek aan te scherpen en niet-ingezetenen het recht te geven in de VS juridische actie te ondernemen bij overtredingen van de privacywet.

Voorvechters van privacybescherming reageren uiteraard heel anders. Daar overheerst blijdschap en tevredenheid dat het Europese Hof nu de bezwaren tegen Safe Harbor honoreert die in hun kringen al jaren leven.

10. Is export van gegevens van Europese onderdanen naar de VS daarmee nu in alle gevallen illegaal?
Dat is de vraag. Amerikaanse bedrijven kunnen er ook voor kiezen zich te committeren aan zogeheten Corporate Binding Rules, waarmee ze zichzelf verplichten persoonlijke gegevens met een Europees niveau van privacybescherming te behandelen. Verschil met de Safe-Harborconstructie is dat hierbij monitoring- en auditverplichtingen gelden waarop toegezien wordt door een Europese toezichthouder naar keuze.

De Europese Commissie staat export ook toe wanneer de exporteur één van de standaardcontracten heeft ondertekend die de Europese Commissie voor dit doel heeft opgesteld. Jurist Walter van Holst van Mitopics waarschuwt wel dat de houdbaarheidstermijn van deze alternatieven waarschijnlijk beperkt is. “Eurocommissaris Frans Timmermans wees er in een reactie op dat deze alternatieven formeel nog in stand zijn, omdat ze anders dan Safe Harbor in de uitspraak van het Europese Hof niet expliciet genoemd zijn. Gezien de motivering van het Hof is het alleen maar wachten op de eerste toezichthouder die deze constructies na een klacht daarover gaat afschieten. Ik verwacht dat dat binnen een half jaar kan gebeuren, maar het duurt zeker niet meer dan een paar jaar. Want ook onder deze regimes zijn de persoonsgegevens niet beschermd tegen inmenging door de Amerikaanse overheid, en dat is nu net het grote bezwaar van het Hof.”

11. Heeft dit ook gevolgen voor Nederlandse organisaties?
Nederlandse organisaties die cloud- of hostingdiensten van Amerikaanse dienstverleners afnemen, kunnen door de uitspraak zeker geraakt worden. Als ze in het kader van contacten met klanten gegevens opslaan bij dergelijke partijen, blijven zij daar onder Nederlands recht de verantwoordelijkheid voor houden. Zij kunnen door de toezichthouder op die verantwoordelijkheid aangesproken worden wanneer die een klacht ontvangt, aldus Van Holst. Vanaf 1 januari aanstaande kan de ­Autoriteit bescherming persoonsgegevens – de opvolger van het ­College – een boete van 810.000 euro of in ernstige gevallen 10 procent van de jaaromzet opleggen, wanneer sprake is van onrechtmatige ­verwerking. En export van persoonlijke gegevens zonder passende waarborgen voor de privacy valt zeker onder onrechtmatige verwerking, stelt Van Holst.

12. Wat moeten Nederlandse organisaties nu doen?
Nederlandse organisaties moeten zonder uitstel in kaart brengen hoe hun leveringsketen eruit ziet, om vast te stellen of daar op enig moment Nederlandse persoonsgegevens naar de VS gaan. Het kan immers voorkomen dat een Nederlandse dienstverlener in het kader van zijn dienstverlening een Amerikaanse partij inschakelt. Dat ontslaat de ­verzamelaar van de gegevens niet van zijn verantwoordelijkheid.

Als er Amerikaanse partijen in die keten zitten, moet men serieus ­bekijken of men daar geen afscheid van moet nemen, stelt Van Holst. Sommige Amerikaanse leveranciers hebben wel rekencentra in Europa, maar als men de dienstverlening met deze partijen wil continueren, moet men zeker kunnen stellen dat zijn gegevens ook in die reken­centra blijven, en om geen enkele reden, ook niet voor back-up of ­replicatie, de EU verlaten.

Als de leverancier in kwestie niet de garantie kan geven dat de gegevens in de EU blijven, moet men een migratietraject voorbereiden. Als de verwerking onder de Safe-Harborbeginselen plaatsvindt, kan men daar beter enige haast mee maken. Maar ook als leverancier meer waarborgen biedt via implementatie van corporate binding rules of de modelcontracten van de EU, moet men voorbereid zijn op een gedwongen vertrek op het moment dat de rechter daar ook een streep door haalt.

Dat geldt bijvoorbeeld voor klanten van Salesforce.com. In reactie op de uitspraak voegt deze CRM-leverancier aan zijn contracten met onmiddellijke ingang de standaard contractvoorwaarden toe die de Europese Commissie heeft opgesteld als bindender alternatief voor Safe Harbor. Daarmee zit men de eerste tijd goed, maar op termijn is dat dus nog de vraag. Ook Amazon Web Services en Microsoft bieden garanties op ­basis van de Europese modelcontracten; beide hebben daarbij ook al goedkeuring van hun contractvoorwaarden van de Europese toezichthouders verkregen. Bij beide kunnen klanten desgewenst ook bepalen dat gegevens binnen Europa moeten blijven. Wellicht is het verstandig om dat nu zo te laten instellen, nu het in het brandpunt van de belangstelling staat. Dan kan men later niet verrast worden door wijzigingen in de juridische afweging die wellicht minder commotie veroorzaken.

Google heeft niet gereageerd op een verzoek om toelichting op de waarborgen die het ‘na Safe Harbor’ biedt.

13. Is hiermee uit privacy-oogpunt de positie van ­Amerikaanse IT-dienstverleners nu helder?
Dat is nog maar de vraag. Vooralsnog is de Amerikaanse overheid niet genegen om de Europese privacyregels te respecteren wanneer in haar ogen de nationale veiligheid of misdaadbestrijding in het geding zijn. Momenteel voert het Amerikaanse openbaar ministerie een verbeten gevecht met Microsoft over vrijgave van e-mailgegevens. Die gegevens zijn van een verdachte van drugsactiviteiten in de VS, maar de mail staat opgeslagen in Microsofts rekencentrum in Dublin. Microsoft verzet zich met hand en tand tegen de dagvaarding, ongetwijfeld uit vrees dat het zijn clouddienstverlening in Europa kan opdoeken wanneer het aan de eis van de overheid voldoet. Tot nog toe is het echter al twee keer in het ongelijk gesteld. Kleinere cloudspelers zullen ongetwijfeld niet zo’n taai gevecht voeren, als de Amerikaanse overheid met een dagvaarding op de stoep staat.

Los daarvan kan naar verluidt de Amerikaanse overheid in principe ­onderdanen waar ook ter wereld met een beroep op de Patriot Act en gerelateerde wet- en regelgeving verplichten mee te werken aan het ­inzien van data als dat van belang is voor de veiligheid van de VS en de strijd tegen het terrorisme. Die wet verbiedt de persoon waarop de Amerikaanse overheid een beroep doet ook om daar publiekelijk ­mededeling van te doen. Het is daardoor volstrekt onduidelijk of de Amerikaanse overheid ooit van deze mogelijkheid gebruik van heeft gemaakt, en zo ja hoe vaak.