Safe Harbor

Op 12-7-2016 hebben de Europese Commissie en de Verenigde Staten definitief overeenstemming bereikt over de uitwisseling van persoonsgegevens: de EU-US Privacy Shield

Safe Harbor ongeldig verklaard per 6-10-2015

Op 6 oktober 2015 heeft het Europese Hof het Safe Harbor-verdrag ongeldig verklaard.
Het Hof heeft dit besluit genomen in het arrest in een zaak tussen de Oostenrijker Max Schrems en Facebook. Schrems had de Ierse privacy-autoriteit gevraagd om onderzoek te doen naar gegevensbescherming in de Verenigde Staten, gebruikmakend van onthullingen van klokkenluider Edward Snowden. De zaak is verwezen naar het Europese Hof en deze heeft een streep door het Safe Harbor-verdrag gezet.

Wat was Safe Harbor?

Op grond van de Europese privacyrichtlijn uit 1998 was het verboden om persoonsgegevens te exporteren naar een land buiten de Europese Unie als dat land met betrekking tot persoonsgegevens een ontoereikend beschermingsniveau bood (gemeten naar EU-maatstaven). De Verenigde Staten is zo'n land met een ontoereikend beschermingsniveau.

Om toch persoonsgegevens naar de VS te kunnen doorgeven, heeft de Europese Commissie in 2000 een verdrag gesloten met de VS, het Safe Harbor-verdrag. Amerikaanse organisaties die zich aansloten bij het Safe Harbor Framework, werden gezien als organisaties die veilig omgingen met Europese persoonsgegevens. Doorgifte van persoonsgegevens naar een bij Safe Harbor aangesloten organisatie was daarom toegestaan.

Meer informatie over doorgifte van persoonsgegevens

Alternatieven voor Safe Harbor

Voor bedrijven die persoonsgegeven exporteren naar een land buiten de Europese Unie terwijl dat land een ontoereikend beschermingsniveau biedt voor persoonsgegevens, zijn er enkele mogelijkheden:
  • Europees Modelcontract bij contacten met derden

    De Europese Commissie heeft standaardcontracten gemaakt waarmee persoonsgegevens mogen worden doorgegeven. Deze Europese Modelcontracten moeten ongewijzigd(!) worden ondertekend door leveranciers.
  • Binding Corporate Rules bij 'intern' dataverkeer

    Bij grote ondernemingen met vestigingen of dochterondernemingen in landen met een ontoereikend beschermingsniveau kunnen 'interne gedragscodes' worden opgesteld. Deze zgn. Binding Corporate Rules (BCR) regelen de bescherming van persoonsgegevens. Het opzetten van Binding Corporate Rules is geen sinecure. Uiteindelijk moeten ze worden goedgekeurd door de nationale toezichthouder, in Nederland de Autoriteit Persoonsgegevens.
  • Ondubbelzinnige toestemming

    De betrokkenen geven ondubbelzinnige toestemming voor de doorgifte van hun persoonsgegevens. Bij grote aantallen betrokkenen is dit geen goede oplossing.

Vergeet de verwerkersovereenkomst niet

Verwerkersovereenkomst is altijd nodig Een verwerkersovereenkomst is áltijd vereist wanneer een verantwoordelijke (of bewerker) de verwerking van persoonsgegevens uitbesteedt aan een derde. Dit staat los van andere regelingen, zoals een Europees Modelcontract.
Voor meer informatie zie: verwerkersovereenkomst


N.B. 'Safe Harbor' is de Amerikaanse schrijfwijze. Engelsen schrijven 'Safe Harbour'.