Innovatie & Strategie

Privacy
Stopwatch

Safe Harbor: hoe lang nog?

© Shutterstock
30 mei 2014

 

Hoofdregel voor internationale uitwisseling van persoonsgegevens buiten de EU is dat de Europese partij verantwoordelijk blijft voor wat een ‘adequaat’ beschermingsniveau (zie kader) in het derde land genoemd wordt. Voor een aantal landen (onder andere Canada, Australië en Nieuw-Zeeland) geldt dat het beschermingsniveau bij voorbaat als ‘adequaat’ is bestempeld door de Europese Commissie. De Verenigde Staten is niet één van die landen, eenvoudigweg omdat hier geen sprake is van generieke privacywetgeving die enigszins vergelijkbaar is met wat wij in de Europese Unie gewend zijn. In plaats daarvan is er een uitzondering geschapen voor zelfregulering in de vorm van het zogenaamde Safe Harbor-regime. Door zich vrijwillig aan toezicht van met name de Federal Trade Commission (FTC) te onderwerpen op dit terrein is het voor Amerikaanse IT-dienstverleners, met name cloudproviders, mogelijk om toch op de Europese markt te opereren. Vooral voor dienstverleners zonder rekencentra in Europa is het zonder deze uitzonderingssituatie nauwelijks mogelijk om Europese klanten te bedienen zonder dat laatstgenoemden privacywet- en regelgeving overtreden.

 

Onder druk

Intussen staat deze uitzondering, niet in het minst door de onthullingen van Edward Snowden, onder druk. Het Europees Parlement heeft tot twee maal toe een motie aangenomen die de Europese Commissie oproept om Safe Harbor af te schaffen. Ook komen er uit het Europese bedrijfsleven geluiden om dit te doen, zo heeft bijvoorbeeld de CEO van Deutsche Telekom hiertoe opgeroepen in een interview met het Handelsblatt. Ook Eurocommissaris Reding heeft een dertiental verbeterpunten voor Safe Harbor gepubliceerd en de FTC opgeroepen het toezicht aan te scherpen. Waarbij het collectief van Europese privacytoezichthouders, de Article 29 Working Party (WP29), hier nog een zestal aanvullende verbeterpunten over heeft gepubliceerd. Reding heeft recentelijk in interviews aangegeven zich zorgen te maken over de snelheid waarmee de verbeterpunten worden opgepakt. Maar de echt grote slagschaduw over Safe Harbor is gevallen met de uitspraak van het Europese Hof over de bewaarplicht van 8 april jl. Want het Hof heeft zich daarbij ook uitgesproken over de voorwaarden voor het exporteren van privacygevoelige gegevens buiten de EU en daarbij expliciet voorwaarden genoemd waar Safe Harbor niet aan voldoet en ook niet aan kan voldoen. Dit brengt met zich mee dat als de Europese Commissie niet in actie komt (en de schok voor de trans-Atlantische handelsbetrekkingen zou zo groot zijn dat de Commissie forse schroom heeft, zie kader), dit wel eens via de rechtspraak zou kunnen gebeuren. Daarbij komt nog dat er bij dat andere Europese Hof, het Europese Hof van de Rechten van de Mens, een spoedprocedure loopt over de medewerking die aan PRISM is verleend door Facebook en Skype, waarbij de Ierse en Luxemburgse privacytoezichthouders zich beriepen op Safe Harbor. Het valt te voorzien dat Safe Harbor hier niet onbeschadigd uitkomt.

 

Afschaffen

Het ondenkbare, afschaffen van Safe Harbor, is dus denkbaar geworden en de vraag die dan rijst is wat de impact daarvan zou zijn. Verrassend genoeg zou deze best mee kunnen vallen. Aan de aanbodzijde van clouddiensten kunnen Amazon, Google en Microsoft nog steeds op de Europese markt opereren omdat zij rekencentra in Europa hebben. Microsoft heeft daarbij ook nog eens heel strategisch zijn cloudvoorwaarden door de WP29 laten goedkeuren als gelijkwaardig aan de standaardclausules die gehanteerd moeten worden in de situaties waarin er wel export is, maar geen Safe Harbor. Voor social-mediapartijen, zoals Facebook en Twitter, geldt een meer wisselend beeld. Facebook heeft een rekencentrum in Zweden maar heeft andere, grotere, problemen met de Europese privacyregels dan Safe Harbor. Ook voor Europese multinationals geldt dat gegevensuitwisseling binnen concernverband veelal mogelijk blijft buiten Safe Harbor om, via zogenaamde ‘corporate binding rules’ bijvoorbeeld (zie kader). Hiervoor is wel goedkeuring van privacytoezichthouders vereist, maar die faciliteit bestaat. De echte impact komt bij Amerikaanse cloudpartijen die geen rekencentra in Europa gebruiken en niet in staat zijn om de Europese activiteiten op korte termijn operationeel te scheiden van de niet-Europese. En daar zijn er veel meer van dan men denkt, zeker middelgrote. Niet alleen zouden deze van de Europese markt afgesneden worden, maar ook hun Europese klanten zouden dan op zeer korte termijn uit moeten wijken naar andere oplossingen. En daar kan bloed vloeien, maar dat kan vaak ook voorkomen worden door hierop voorbereid te zijn.

De eerste stap om hierop voorbereid te zijn is om inzicht te krijgen in de keten van dienstverleners. Voor welke bedrijfsprocessen is de organisatie afhankelijk van clouddiensten? Waar draait die leuke e-HRM-applicatie die de organisatie sinds een jaar of twee naar volle tevredenheid gebruikt en welke onderaannemers zijn daarbij betrokken? Of de branchespecifieke online CRM-oplossing? Op basis van wat voor contracten en SLA’s? Ook als de leverancier Europees is, komt het niet zelden voor dat er toch geleund wordt op een clouddienst die Amerikaans is. Dus de hele keten, tot op het ijzer in het rekencentrum, is relevant. En dan is het vooral logisch om de vraag aan de leveranciers te stellen: wat is jullie noodplan voor deze situatie? En laat eens zien dat dit plan gaat werken. Want als het antwoord van de leverancier is dat dit het probleem van de afnemer is, dan is het wellicht tijd om uit te gaan zien naar een alternatieve partij voor de oplossing.

 

Hanteerbaar

Voor organisaties met een goed overzicht van hun ICT-contracten zal dit een betrekkelijk hanteerbare exercitie zijn. Hier wreekt zich alleen het gemak van de cloud: veel clouddiensten zijn buiten de inkoop- of de ICT-afdeling om gecontracteerd. Vertrekpunt zal niet zelden eerder de crediteurenadministratie zijn dan de ICT-contractenportfolio. In het ernstigste geval moet de oplossing veranderen, maar veelal kan een kleine wijziging in de ‘underpinning’ contracts van de leverancier al veel betekenen. Een voorbeeld van zo’n wijziging is dat de (cloud)onderleverancier van de leverancier verwerking binnen de Europese Economische Ruimte garandeert. Een ander voorbeeld van een dergelijke wijziging is het gebruik maken van de modelclausules van de Europese Commissie (zie kader), maar dit zal in de praktijk vaak niet haalbaar zijn.

Kortom, we leven in interessante tijden op het terrein van de privacyregels. En het verdwijnen van Safe Harbor is denkbaar geworden, maar hoeft niet te betekenen dat de wereld vergaat, mits men over deze mogelijkheid nadenkt en tijdig maatregelen treft of ten minste voorbereidt. Het zou overigens evenzeer te overwegen zijn om dit alles te vereenvoudigen door in wetgeving een verplichting op te nemen die verwerking met gelijkwaardige waarborgen als in de Europese Unie door de verantwoordelijke laat garanderen, zonder dat er met merkwaardige halve verboden wordt gewerkt, zoals nu.

Handelsoorlog

De belangrijkste reden waarom het afschaffen van Safe Harbor tot voor kort zo ondenkbaar was, is dat een dergelijk besluit van de Europese Commissie vrijwel zeker een handelsoorlog tussen de Europese Unie en de Verenigde Staten zal ontketenen. De belangen van technologiebedrijven in Silicon Valley om zich zo min mogelijk gelegen te hoeven laten liggen aan de Europese wet- en regelgeving op het gebied van privacy zijn eenvoudigweg te groot. Het zou ook een politiek probleem blootleggen: het Safe Harbor-regime is ingevoerd om handelspolitieke redenen, niet zozeer omdat er een bewuste beleidskeuze van de Europese Commissie achter zit. Het had evenzeer op verwerking van persoonsgegevens in India van toepassing kunnen zijn, maar er zijn nooit redenen gegeven waarom dat niet het geval is. Politiek gezien zou het zelfs wenselijk zijn dat het door een rechterlijke uitspraak afgeschaft wordt, dan kan men zich daar nog enigszins achter verschuilen.

Modelclausules Europese Commissie

Naast adequaatheidsbeslissingen zoals Safe Harbor en de ‘binding corporate rules’ is er een derde faciliteit om privacygevoelige gegevens buiten de Europese Unie te kunnen brengen: gebruik maken van standaardcontracten die door de Europese Commissie zijn vastgesteld voor dit doel. Nadeel hiervan is dat de exporterende partij per definitie meer risico draagt dan in het geval van een adequaatheidsbesluit en dat de mogelijkheden om van deze standaardclausules af te wijken, zeer beperkt zijn.

Binding corporate rules

‘Binding corporate rules’ is een instrument dat ervoor zorgt dat multinationale bedrijven met vestigingen buiten de Europese Unie toch persoonsgegevens tussen werkmaatschappijen onderling uit kunnen wisselen. Door zich concernbreed aantoonbaar aan de Europese regels te committeren kunnen multinationals zo hun eigen Safe Harbor creëren. Hier zijn wel monitoring- en auditverplichtingen aan verbonden, waardoor dit instrument vooral populair is bij grotere organisaties. Een voordeel hierbij is dat een concern dat ‘binding corporate rules’ hanteert, zijn eigen toezichthouder uit kan kiezen in Europa. Een aantal Nederlandse multinationals heeft voor deze route gekozen.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!