Safe Harbor

Op 12-7-2016 bereikten de Europese Commissie en de Verenigde Staten opnieuw overeenstemming over de uitwisseling van persoonsgegevens: het EU-US Privacy Shield. Op 16-7-2018 heeft het Europese Hof ook dit doorgiftemechanisme ongeldig verklaard.

Safe Harbor ongeldig verklaard per 6-10-2015

Op 6 oktober 2015 heeft het Europese Hof het Safe Harbor-verdrag ongeldig verklaard.
Het Hof heeft dit besluit genomen in het arrest in een zaak tussen de Oostenrijker Max Schrems en Facebook. Schrems had de Ierse privacy-autoriteit gevraagd om onderzoek te doen naar gegevensbescherming in de Verenigde Staten, gebruikmakend van onthullingen van klokkenluider Edward Snowden. De zaak is verwezen naar het Europese Hof en deze heeft een streep door het Safe Harbor-verdrag gezet.

Wat was Safe Harbor?

Op grond van de Europese privacyrichtlijn uit 1998 was het verboden om persoonsgegevens te exporteren naar een land buiten de Europese Unie als dat land met betrekking tot persoonsgegevens een ontoereikend beschermingsniveau bood (gemeten naar EU-maatstaven). De Verenigde Staten is zo'n land met een ontoereikend beschermingsniveau.

Om toch persoonsgegevens naar de VS te kunnen doorgeven, heeft de Europese Commissie in 2000 een verdrag gesloten met de VS, het Safe Harbor-verdrag. Amerikaanse organisaties die zich aansloten bij het Safe Harbor Framework, werden gezien als organisaties die veilig omgingen met Europese persoonsgegevens. Doorgifte van persoonsgegevens naar een bij Safe Harbor aangesloten organisatie was daarom toegestaan.

Meer informatie over doorgifte van persoonsgegevens

Alternatieven voor Safe Harbor

Voor bedrijven die persoonsgegeven exporteren naar een land buiten de Europese Unie terwijl dat land een ontoereikend beschermingsniveau biedt voor persoonsgegevens, zijn er diverse mogelijkheden waaronder:

  • Europees Modelcontract bij contacten met derden

    De Europese Commissie heeft standaardcontracten gemaakt waarmee persoonsgegevens mogen worden doorgegeven. Deze Europese Modelcontracten moeten ongewijzigd(!) worden ondertekend door leveranciers.

  • Binding Corporate Rules bij 'intern' dataverkeer

    Bij grote ondernemingen met vestigingen of dochterondernemingen in landen met een ontoereikend beschermingsniveau kunnen 'interne beleidsregels' worden opgesteld. Deze zgn. Binding Corporate Rules (BCR of bindende bedrijfsvoorschriften) regelen de bescherming van persoonsgegevens. Het opzetten van Binding Corporate Rules is geen sinecure. Uiteindelijk moeten ze worden goedgekeurd door de toepasselijke nationale toezichthouder(s), in Nederland de Autoriteit Persoonsgegevens.

  • Ondubbelzinnige toestemming

    De betrokkenen geven ondubbelzinnige toestemming voor de doorgifte van hun persoonsgegevens. Bij grote aantallen betrokkenen is dit geen goede oplossing.

Vergeet de verwerkersovereenkomst niet

Een verwerkersovereenkomst is áltijd vereist wanneer een verwerkingsverantwoordelijke (of verwerker) de verwerking van persoonsgegevens uitbesteedt aan een derde. Dit staat los van een eventueel toepasselijke doorgifteregeling, zoals het EU-US Privacy Shield of een Europees modelcontract.
Zie: verwerkersovereenkomst

N.B. 'Safe Harbor' is de Amerikaanse schrijfwijze. Engelsen schrijven 'Safe Harbour'.

Gerelateerde onderwerpen

Algemene Verordening Gegevensbescherming (AVG) | Bescherming persoonsgegevens | Binding Corporate Rules | Doorgifte persoonsgegevens | Europees modelcontract | Persoonsgegevens | Privacy | Privacy Shield | Verwerkersovereenkomst

Aanvullende informatie

EC: witte lijst van veilige landen Google nieuws: safe harbor