Download dit artikel als PDF 07 oktober 2015

Doorgifte persoonsgegevens naar VS aan banden gelegd door Hof van Justitie

Op 6 oktober 2015 heeft het Hof van Justitie een zeer belangrijk arrest gewezen over datadoorgifte naar de VS. In het arrest oordeelde het Hof dat doorgifte van persoonsgegevens naar de VS op dit moment niet is toegestaan omdat de privacy van personen kan worden geschonden. Dit arrest kan verstrekkende gevolgen hebben voor alle bedrijven die vanuit de EU persoonsgegevens doorgeven aan de VS. Denk aan leveranciers van (cloud) diensten die gebruik maken van servers in de VS.

Europese Privacyrichtlijn
Op grond van de Europese Privacyrichtlijn mogen persoonsgegevens alleen worden doorgegeven naar landen buiten de Europese Unie, indien die landen een passend beschermingsniveau bieden voor die persoonsgegevens. De Europese Commissie mag in dat kader vaststellen of een bepaald land een voldoende beschermingsniveau biedt.

De Privacyrichtlijn bepaalt verder dat elke Europese lidstaat het recht heeft om een nationale instantie aan te wijzen die toeziet op de naleving van de nationale regels die op basis van de Privacyrichtlijn zijn geïmplementeerd. In Nederland is dat het College Bescherming Persoonsgegevens (CBP). De nationale toezichthouders hebben de belangrijke taak om in individuele gevallen te toetsen of de privacy voldoende gewaarborgd is. In dit kader kunnen de nationale toezichthouders ook een onderzoek instellen naar het beschermingsniveau van landen buiten de EU.

Safe Harbour
In 2000 heeft de Europese Commissie een beschikking afgegeven waarin zij heeft vastgesteld dat Amerikaanse bedrijven die voldoen aan de Safe Harbour Principles een passend beschermingsniveau bieden. Bedrijven als Google en Facebook zijn aangesloten bij de Safe Harbour Principles en mogen op basis hiervan dus persoonsgegevens vanuit de EU doorgeven naar de VS, bijvoorbeeld om deze persoonsgegevens daar op servers op te slaan. Aangesloten bedrijven die in Europa clouddiensten aanbieden, kunnen de door hen verwerkte persoonsgegeven op basis hiervan opslaan op servers in de VS.

Klacht Facebook gebruiker
Maximillian Schrems, een Oostenrijkse gebruiker van Facebook, heeft een klacht ingediend bij de Ierse autoriteit voor de bescherming van persoonsgegevens omdat zijn persoonsgegevens door het in Ierland gevestigde Facebook werden opgeslagen op servers in de VS. Hij is van mening dat de VS zijn persoonsgegevens onvoldoende beveiligen omdat de Amerikaanse inlichtingendiensten (in het bijzonder de NSA) zich toegang kunnen verschaffen tot persoonsgegevens van internetgebruikers. Schrems baseert zich hierbij op de openbaringen van klokkenluider Edward Snowden in 2013.

De Ierse toezichthoudende instantie heeft de klacht afgewezen met het argument dat de VS op basis van de Safe Harbour Principles een passend beschermingsniveau biedt. De zaak is uiteindelijk aangebracht bij The High Court of Ireland. Deze instantie heeft aan het Hof van Justitie de vraag voorgelegd of de Safe Harbour beslissing van de Europese Commissie de nationale toezichthoudende instanties belemmert in hun taak om erop toe te zien dat de VS daadwerkelijk een passend beschermingsniveau biedt. 

Uitspraak Hof van Justitie
Het Hof van Justitie heeft geoordeeld dat de Safe Harbour beslissing van de Europese Commissie, niet in de weg staat aan de bevoegdheid van de nationale toezichthoudende instanties om – onafhankelijk - te beoordelen of een land buiten de EU een passend beschermingsniveau biedt.

Het Hof constateert dat slechts aangesloten Amerikaanse bedrijven gebonden zijn aan de Safe Harbour Principles en niet de Amerikaanse overheidsinstanties en inlichtingendiensten. Aangezien de nationale veiligheid, het publieke belang en handhavingsbevoegdheden van de VS voorrang hebben op de Safe Harbour Principles, kunnen de Amerikaanse autoriteiten zich toegang verschaffen tot deze gegevens. Dit terwijl er geen beperkingen worden gesteld aan deze toegang en waarborgen worden gegeven aan de betreffende personen.

Tengevolge hiervan kunnen de persoonsgegevens worden verwerkt voor andere doeleinden dan waarvoor deze zijn doorgegeven aan de VS. Hierdoor is het mogelijk dat de Amerikaanse autoriteiten de fundamentele rechten van personen schenden, waaronder het recht op een persoonlijke levenssfeer (het recht op privacy). Omdat niet wordt gewaarborgd dat personen toegang kunnen hebben tot hun persoonsgegevens en de rectificatie of verwijdering van deze gegeven kunnen vragen, wordt met de Safe Harbour Principles ook het recht op effectieve rechtsbescherming geschonden. Tenslotte is het Hof van mening dat de Europese Commissie niet het recht heeft om de toezichthoudende bevoegdheden van de nationale autoriteiten te beperken.

Om deze redenen is het Hof van Justitie van oordeel dat de Safe Harbour beslissing uit 2000 ongeldig is.

Gevolgen van dit arrest  
Dit arrest kan verstrekkende gevolgen hebben voor alle bedrijven die vanuit de EU persoonsgegevens doorgeven aan de VS. Zoals bijvoorbeeld voor leveranciers van (cloud) diensten die gebruik maken van servers in de VS. Strikt genomen kunnen personen zich nu verzetten tegen de doorgifte van hun persoonsgegeven naar de VS en zal in individuele gevallen en per Europees land beoordeeld moeten worden of er een voldoende beschermingsniveau wordt geboden. De bedrijven die persoonsgegevens doorgeven aan de VS en/of die gegevens opslaan op een server in de VS, zullen de door hen geboden waarborgen goed onder de loep moeten nemen en zo nodig aanvullende afspraken moeten maken over de bescherming van persoonsgegevens. Indien zij dit niet doen riskeren zij hoge boetes.

De nationale toezichthouders hebben de taak om snel hun standpunt kenbaar te maken met betrekking tot de dataprotectie in de VS. Het CBP gaf op 6 oktober 2015 in een persverklaring aan:

Deze uitspraak onderstreept nogmaals het grote belang van dataprotectie en het feit dat bescherming van persoonsgegevens een fundamenteel recht is. Het is belangrijk dat toezichthouders altijd onafhankelijk onderzoek kunnen blijven doen en zo kunnen blijven opkomen voor de rechten van Europese burgers wiens gegevens de hele wereld overgaan. De Europese privacytoezichthouders komen deze week met spoed bij elkaar.”

De Europese Commissie was voorafgaand aan dit arrest al in gesprek met de VS om nieuwe afspraken te maken voor de bescherming van persoonsgegevens. Het is van belang dat deze onderhandelingen snel worden afgerond, zodat er snel duidelijkheid komt over dataprotectie in de VS.

Wilt u meer weten over het privacyrecht en datadoorgifte? Dan kunt u contact opnemen met één van onze specialisten van de sectie  Intellectueel Eigendom en IT.

Deze blog bevat algemene informatie en is met veel aandacht en zorgvuldigheid geschreven. Juridisch advies is echter altijd maatwerk. Wint u dus in een voorkomend geval altijd deskundig juridisch advies in. (Lees onze disclaimer).