Home / Publicaties / Persoonsgegevens uit de EU opslaan in de VS: pas op...

Persoonsgegevens uit de EU opslaan in de VS: pas op voor recente ontwikkelingen

25/09/2015

Veel bedrijven slaan de gegevens van hun werknemers en klanten op in de Verenigde Staten, zoals Amerikaanse bedrijven die voor het beheren van HR en CRM-gegevens vaak gebruikmaken van systemen van het desbetreffende Amerikaanse hoofdkantoor. Bovendien zijn Europese bedrijven geneigd hun IT systemen te outsourcen naar cloud-serviceproviders die dikwijls hun servers in de Verenigde Staten hebben staan en daar dus hun gegevens opslaan – inclusief persoonsgegevens.

Het verwerken van persoonsgegevens is in de EU onderworpen aan strikte regelgeving. Een van de principes is dat het niet is toegestaan persoonsgegevens door te geven naar een land buiten de EU, tenzij dat land "een passend beschermingsniveau" garandeert. De Verenigde Staten bieden dit passend beschermingsniveau niet. Om die reden vraagt het doorvoeren van persoonsgegevens vanuit de EU naar de Verenigde Staten om aanvullende waarborgen.

Een instrument dat in de Verenigde Staten is ontwikkeld om gegevens op de rechtmatige overdracht van gegevens vanuit de EU naar de VS te faciliteren is de "Safe Harbor" – een aantal principes en regels voor het doorvoeren van persoonsgegevens. Amerikaanse organisaties kunnen zich vrijwillig inschrijven bij die principe via de US Department of Commerce. Een lijst van deelnemende organisaties kan hier worden ingezien.

In haar Beslissing 2000/520 (Beslissing), vindt de Europese Commissie dat de "Safe Harbor" inderdaad een "passend beschermingsniveau" biedt. De Beslissing bevat een aantal uitzonderingen. In bepaalde gevallen hoeft er geen gevolg te worden gegeven aan de "Safe Harbor" principes, voornamelijk in geval van nationale veiligheid.

In een zaak die nu aanhangig is bij het Europees Hof van Justitie, stelt de Oostenrijke student Max Schrems de rechtmatigheid van "Safe Harbor" ter discussie, voornamelijk omdat de gegevens van EU-burgers die zijn opgeslagen in de VS toegankelijk zijn voor NSA en andere veiligheidsorganisaties in geval van massaal willekeurig toezicht op en onderschepping van gegevens. Advocaat Generaal Yves Bot is het met Schrems eens en is van mening dat de Beslissing ongeldig moet worden verklaard, omdat de uitzonderingen in de Beslissing niet garanderen dat de privacy van EU-burgers is beschermd.

Ondanks dat het slechts een opinie betreft en geen rechterlijke uitspraak, moet de impact hiervan niet worden onderschat. Als het Hof van Justitie de conclusie van de opinie van Bot volgt, kan het zo zijn dat "Safe Harbor" niet langer in staat is om de noodzakelijke veiligheid te bieden – met als gevolg dat duizenden bedrijven op zoek zullen moeten naar alternatieven om de rechtmatige doorvoer van persoonsgegevens van de EU naar de VS te waarborgen.

Auteurs

Jurre Reus
Hendrik Struik