Persoonsgegevens buiten Europa

USA - Europe business

Volgens de Europese privacywet is het verboden om zonder aanvullende afspraken, persoonsgegevens te laten verwerken door landen buiten de Europese Unie. Achterliggende gedacht is dat de lokale wetten in dergelijke landen onvoldoende waarborgen bieden voor de bescherming van de persoonsgegevens. Ook de Verenigde Staten wordt door de Europese Commissie aangemerkt als een land zonder passend beschermingsniveau. Dat komt doordat de Amerikanen de privacy van buitenlanders niet of nauwelijks beschermen. De Amerikaanse privacywetgeving geldt op dit moment alleen voor inwoners van de VS, waardoor er geen juridische grondslag is voor de bescherming van buitenlanders. Onder druk van de internationale gemeenschap beloven de Amerikanen al langere tijd de nodige verbeteringen, maar deze komen niet of nauwelijks op gang.

Aangezien veel organisaties gebruik maken van de diensten van Amerikaanse (cloud)leveranciers, is het voor organisaties binnen de Europese Unie belangrijk om te zorgen dat de er aanvullende afspraken worden gemaakt waarmee de bescherming van de persoonsgegevens voldoende wordt beschermd. Door gebruik te maken van Europese modelcontracten kan dit worden geregeld. Specifiek voor Amerikaanse leveranciers kan er naast het gebruik van Europese modelcontracten ook gebruik worden gemaakt van het EU-US Privacy Shield. Beide mogelijkheden worden hieronder nader toegelicht.

Europees Modelcontract

Voor het exporteren van persoonsgegevens naar landen buiten de Europese Unie zonder passend beschermingsniveau kan ook gebruik worden gemaakt van ongewijzigde (!) modelcontracten die door de Europese Commissie zijn opgesteld. Deze contracten bieden op dit moment nog een rechtmatige oplossing, maar de verwachting is dat deze op termijn ongeldig worden verklaard door het Europese Hof van Justitie, aangezien deze modelcontracten onvoldoende waarborgen zouden vormen voor de bescherming van persoonsgegevens. Vooralsnog is daarvan echter nog geen sprake, dus kunnen de modelcontracten worden gebruikt. Hieronder een aantal links naar verschillende modelcontracten:

Wanneer modelcontracten met een aanvulling of wijziging worden gebruikt, dan dient er voor het gebruik van de aangepaste versie een vergunning bij de Autoriteit Persoonsgegevens te worden aangevraagd.

EU-U.S. Privacyschild (vervanger Safe Harbor)

Om uitwisseling van persoonsgegevens tussen Europese organisaties en Amerikaanse leveranciers mogelijk te maken, werd in 2000 het Safe Harbor framework opgezet. Door zelfcertificering kon een leverancier stellen zich te houden aan de zogenaamde ‘Safe Harbor Principles’, waarna doorgifte van persoonsgegevens was toegestaan. Deze papieren exercitie bood echter geen enkele garantie, en voldeed ook niet aan destijds geldende Nederlandse privacywet. Deze vereiste namelijk dat er een bewerkersovereenkomst werd opgesteld en dat er expliciete afspraken t.a.v. de beveiliging van de gegevens worden gemaakt. Verschillende critici (waaronder Baaten ICT Security) waren al langer van mening dat het Safe Harbor framework alleen maar een juridische cover-your-ass constructie bood, en in werkelijkheid onvoldoende concrete waarborgen bood voor de bescherming van (persoons)gegevens.

In oktober 2015 werd het Safe Harbor framework door het Europese Hof van Justitie ongeldig verklaard. De Europese privacytoezichthouders gaven de Europese Commissie tot 31 januari 2016 de tijd om nieuwe afspraken te maken met de Verenigde Staten over adequate bescherming van data van Europese burgers. Hierna zouden ze gaan ingrijpen en dat zou vergaande consequenties kunnen hebben voor organisaties in Europa.

Begin februari 2016 berichtte de Europese Commissie dat er een overeenkomst is bereikt die de naam ‘EU-U.S. Privacy Shield’ draagt. Na het doorvoeren van een aantal verbeteringen in de concept versie, heeft de Europese Commissie de definitieve versie op 12 juli 2016 gepubliceerd. Vanaf 1 augustus 2016 kunnen Amerikaanse organisaties middels zelfcertificering aangeven te voldoen aan de geldende privacyeisen, en hun certificering indienen bij het Amerikaanse ministerie van Handel. Wanneer laatstgenoemde de desbetreffende Amerikaanse organisatie opneemt in het register van het Privacy Shield, mogen Europese organisaties persoonsgegevens doorgeven naar deze Amerikaans organisatie.

Over de toekomstvastheid van het EU-US Privacy Shield bestaan nog twijfels. Critici zijn van mening dat het EU-US Privacy Shield (nog steeds) onvoldoende bescherming biedt, en verwachten dat het Europese Hof van Justitie ook deze nieuwe overeenkomst ongeldig verklaard.

Gag Order risico

Ondanks de mogelijkheden om het verwerken van persoonsgegevens door Amerikaanse organisaties vanuit een juridisch oogpunt te legaliseren, is er nog steeds sprake van een risico dat ontstaat doordat de Amerikaanse wet conflicteert met Europese wetgeving. Baaten ICT Security noemt dit risico het Gag Order risico, en is van mening dat organisaties dit risico bewust dienen te adresseren.

Als gevolg van onder andere de Patriot Act en FISA wetgeving kan de Amerikaanse overheid data bij Amerikaanse leveranciers opvragen zonder dat deze hier de data-eigenaar over mogen informeren (een zogenaamde Gag Order). Het feit dat een dergelijke leverancier een datacenter in Europa heeft en de data alleen maar in dat datacenter opslaat, doet daar niets aan af. Zolang het een Amerikaanse leverancier betreft, of wanneer de dataopslag om andere redenen onder Amerikaanse jurisdictie valt, kan de Amerikaans overheid zonder medeweten van de data-eigenaar alle data opvragen ongeacht de (fysieke) opslaglocatie. De Amerikaanse wet en de Europese wet zijn op dit vlak dus conflicterend, en Amerikaanse leveranciers staan feitelijk voor een onmogelijke keuze: voldoen aan Europese wetgeving of aan Amerikaanse wetgeving.

In een iets andere context geldt dit overigens ook voor medewerkers met een Amerikaans paspoort in dienst van een Europese organisatie, waaronder ook medewerkers met een dubbele nationaliteit. Omdat Amerikanen worden verondersteld vaderlandslievend te zijn (Patriot Act), is het wettelijke uitgangspunt dat Amerikaanse medewerkers van de Amerikaanse overheid opdracht kunnen krijgen om data van de werkgever te lekken aan de Amerikaanse overheid. Ook hier weer zonder medeweten van de organisatie waar de medewerker in dienst is. Vanuit Amerikaanse wetgeving en als gevolg van het hebben van een Amerikaans paspoort, zijn dergelijke medewerkers verplicht om aan dergelijke verzoeken van de Amerikaanse overheid gehoor te geven. Afhankelijk van de risicobereidheid betekent dit, dat je als organisatie eigenlijk dient te weten of je medewerkers (en misschien ook wel de medewerkers van je leveranciers) meerdere nationaliteiten hebben en, zo ja, of hier dan een Amerikaanse nationaliteit tussen zit. Baaten ICT Security ziet ook hier conflicten in wetgeving, want iemand weigeren aan te nemen op basis van nationaliteit valt onder discriminatie en is strafbaar.

Het komt er in ieder geval op neer dat er (nog) geen structurele oplossing bestaat voor het Gag Order risico. Zolang er data wordt opgeslagen op servers onder Amerikaanse jurisdictie, kan de Amerikaanse overheid beschikken over deze gegevens. Er is geen wet of regel die dit voorkomt, maar er ontstaat steeds meer weerstand vanuit Amerikaanse leveranciers. Microsoft bijvoorbeeld is in VS verwikkeld in diverse rechtszaken, omdat ze de Amerikaanse overheid geen toegang willen geven tot klantdata op basis van een Gag Order. Ook heeft Microsoft in samenwerking met het Duitse T-Systems International een separate Azure cloud in Duitsland opgezet die juridisch gezien buiten het bereik van Amerikaanse wetgeving valt. De Amerikaanse overheid kan dan niet meer middels een Gag Order over de gegevens in deze cloud beschikken. Hiermee kan worden voldaan aan Europese wetgeving.

Wilt u ook graag weten wat verschillende wetten en regels betekenen voor uw organisatie? Baaten ICT Security helpt u te voldoen aan wet- en regelgeving met passende adviezen op het gebied van informatiebeveiliging en privacy.

Zorg dat uw organisatie compliant is, en bespreek de mogelijkheden en kansen onder het genot van een kopje koffie.

Neem contact op voor een vrijblijvende kennismaking!