Safe Harbor
Op 12-7-2016 bereikten de Europese Commissie en de Verenigde Staten opnieuw overeenstemming over de uitwisseling van persoonsgegevens: het EU-US Privacy Shield.
Op 16-7-2018 heeft het Europese Hof ook dit doorgiftemechanisme ongeldig verklaard.
Safe Harbor ongeldig verklaard per 6-10-2015
Op 6 oktober 2015 heeft het Europese Hof het Safe Harbor-verdrag ongeldig verklaard.Het Hof heeft dit besluit genomen in het arrest in een zaak tussen de Oostenrijker Max Schrems en Facebook. Schrems had de Ierse privacy-autoriteit gevraagd om onderzoek te doen naar gegevensbescherming in de Verenigde Staten, gebruikmakend van onthullingen van klokkenluider Edward Snowden. De zaak is verwezen naar het Europese Hof en deze heeft een streep door het Safe Harbor-verdrag gezet.
Wat was Safe Harbor?
Op grond van de Europese privacyrichtlijn uit 1998 was het verboden om persoonsgegevens te exporteren naar een land buiten de Europese Unie als dat land met betrekking tot persoonsgegevens een ontoereikend beschermingsniveau bood (gemeten naar EU-maatstaven). De Verenigde Staten is zo'n land met een ontoereikend beschermingsniveau.Om toch persoonsgegevens naar de VS te kunnen doorgeven, heeft de Europese Commissie in 2000 een verdrag gesloten met de VS, het Safe Harbor-verdrag. Amerikaanse organisaties die zich aansloten bij het Safe Harbor Framework, werden gezien als organisaties die veilig omgingen met Europese persoonsgegevens. Doorgifte van persoonsgegevens naar een bij Safe Harbor aangesloten organisatie was daarom toegestaan.
Meer informatie over doorgifte van persoonsgegevens
Alternatieven voor Safe Harbor
Voor bedrijven die persoonsgegeven exporteren naar een land buiten de Europese Unie terwijl dat land een ontoereikend beschermingsniveau biedt voor persoonsgegevens, zijn er diverse mogelijkheden waaronder:-
Europees Modelcontract bij contacten met derden
De Europese Commissie heeft standaardcontracten gemaakt waarmee persoonsgegevens mogen worden doorgegeven. Deze Europese Modelcontracten moeten ongewijzigd(!) worden ondertekend door leveranciers. -
Binding Corporate Rules bij 'intern' dataverkeer
Bij grote ondernemingen met vestigingen of dochterondernemingen in landen met een ontoereikend beschermingsniveau kunnen 'interne beleidsregels' worden opgesteld. Deze zgn. Binding Corporate Rules (BCR of bindende bedrijfsvoorschriften) regelen de bescherming van persoonsgegevens. Het opzetten van Binding Corporate Rules is geen sinecure. Uiteindelijk moeten ze worden goedgekeurd door de toepasselijke nationale toezichthouder(s), in Nederland de Autoriteit Persoonsgegevens. -
Ondubbelzinnige toestemming
De betrokkenen geven ondubbelzinnige toestemming voor de doorgifte van hun persoonsgegevens. Bij grote aantallen betrokkenen is dit geen goede oplossing.
Vergeet de verwerkersovereenkomst niet
Een verwerkersovereenkomst is áltijd vereist wanneer een verwerkingsverantwoordelijke (of verwerker) de verwerking van persoonsgegevens uitbesteedt aan een derde. Dit staat los van een eventueel toepasselijke doorgifteregeling, zoals het EU-US Privacy Shield of een Europees modelcontract.Zie: verwerkersovereenkomst
N.B. 'Safe Harbor' is de Amerikaanse schrijfwijze. Engelsen schrijven 'Safe Harbour'.