Geen ‘Safe Habour’ in de Verenigde Staten

Via internet gaan gegevens in ‘no time’ de wereld over, en niet zelden blijkt ‘de cloud’ gewoon een server in Amerika te zijn.

Om privacy van burgers te beschermen, gelden in Europa redelijk strikte regels voor verwerking van persoonsgegevens. Een van de regels is natuurlijk dat bedrijven persoonsgegevens niet zo maar naar landen buiten Europa mogen verplaatsen, waar de strikte Europese regels niet gelden. In beginsel mogen persoonsgegevens alleen aan landen worden doorgegeven die een “passend beschermingsniveau” (lees: ongeveer even strikte regels als Europa) waarborgen.

In de Verenigde Staten is er geen passend beschermingsniveau. Sterker nog, er is helemaal geen algemene wetgeving ter bescherming van persoonsgegevens. Om aan belangen Europese en Amerikaanse bedrijven tegemoet te komen (die nu eenmaal veel – al was het maar via ‘cloud’-diensten, gegevens met elkaar uitwisselen) heeft de Europese Commissie de zogenaamde “Safe Harbour” beginselen in het leven geroepen. Een Amerikaans bedrijf dat zegt zich te conformeren aan de Safe Harbour beginselen, biedt volgens Europa een passend beschermingsniveau.

In de praktijk bleek dit regime van privacybescherming een wassen neus. Om een zogenaamd passend beschermingsniveau te waarborgen, was het invullen van een formuliertje voldoende. Toezicht en controle op de naleving was er (nagenoeg) niet. En het liet de bevoegdheden van Amerikaanse overheids-/inlichtingendiensten onverlet.

Een jonge rechtenstudent, Maximiliaan Schrems, klaagde over dit systeem bij het Europees Hof van Justitie. En met succes: het Hof verklaarde de Safe Harbour regeling ongeldig. Het gevolg: alle Europese bedrijven die persoonsgegevens hebben doorgegeven aan de Verenigde Staten en voor de rechtmatigheid van de doorgifte hebben vertrouwd op de Safe Harbour beginselen, zijn strikt genomen in overtreding. Europa en de Verenigde Staten zijn op dit moment nog in onderhandeling over een nieuwe, aangepaste, Safe Harbour regeling.