Het exportverbod in het privacyrecht
Het privacyrecht in de gehele Europese Unie (EU) verbiedt export van persoonsgegevens naar landen buiten de EU, tenzij die export met nadere waarborgen is omkleed. De gedachte is dat zo wordt geborgd dat de omgang met persoonsgegevens van EU-burgers altijd aan onze mininumnormen zal voldoen.
De Safe Harbor-regeling
Voor export naar de USA bestond de Safe Harbor regeling. Dit was een stelsel van zelfcertificering waarbij duizenden Amerikaanse bedrijven bij waren aangesloten. Op grond van de regeling was het toegestaan persoonsgegevens naar deze bedrijven te exporteren.
Max Schrems-arrest: ongeldigverklaring Safe Harbor regeling
Het Hof van Justitie overweegt in het Max Schrems-arrest in de kern dat de Safe Harbor regeling onvoldoende waarborgen kent om de privacy van de EU-burgers te beschermen. De regeling is namelijk niet verankerd in het Amerikaanse rechtsstelsel en uit de regeling blijkt ook dat het belang van de Amerikaanse veiligheidsdiensten per definitie prevaleert op het belang van de privacy (waar in Europa een inbreuk op een grondrecht altijd een belangenafweging vergt en een inbreuk bovendien moet voldoen aan eisen van proportionaliteit en subsidiariteit).
De alternatieven en hun haalbaarheid
De Safe Harbor regeling is niet de enige grondslag voor export van persoonsgegevens naar buiten de EU. Alternatieve grondslagen zijn (zie ook de recente brief van de Minister):
- doorgifte vindt plaats op basis van toestemming van de betrokkene;
- doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en verantwoordelijke of voor de totstandkoming daarvan;
- doorgifte vindt plaats op basis van modelcontracten van de Europese Commissie;
- doorgifte vindt plaats met toepassing van intern bindende bedrijfsvoorschriften (Binding Corporate Rules);
- doorgifte vindt plaats krachtens een vergunning van de Minister.
Ik zal deze verschillende grondslagen kort bespreken.
Ad. 1. Toestemming: niet praktisch
Bij het gebruik van online (cloud) diensten zoals SaaS-achtige diensten of het gebruik van API's, webservices en dergelijke ligt het vragen van toestemming (ad. 1) niet voor de hand. De betrokkene kan toestemming immers altijd weer intrekken. En dan zit je opeens klem als verantwoordelijke.
Ad. 2. Overeenkomst met betrokkene: speelt veelal niet
Optie 2 zal in die gevallen veelal ook niet opgaan. Deze grondslag gaat op als de betrokkene zelf een overeenkomst met een buitenlandse partij sluit, maar niet als een bedrijf/instelling waarbij die betrokkene werkt of waarvan die betrokkene klant is een overeenkomst met een buitenlandse partij sluit. Deze grondslag speelt dus veelal bij dienstencontracten niet.
Ad. 3. Modelcontracten: vooralsnog bruikbaar
Gebruik van de EC modelcontracten lijkt op het eerste gezicht een goede oplossing. Het Hof van Justitie overweegt immers uitdrukkelijk in overweging 52 van het arrest dat zolang een beschikking van de Commissie die de export van persoonsgegevens rechtvaardigt nog niet ongeldig is verklaard, dit een geldige grondslag voor export van persoonsgegevens is.
De vraag is wel of die modelcontracten op termijn niet hetzelfde lot beschoren zijn als de Safe Harbor beschikking, zo vraagt ook de vaste commissie voor Immigratie & Asiel / JBZ-Raad van de Eerste Kamer zich af. Het betreft immers "slechts" contracten, die verder geen verankering kennen in het rechtsstelsel van het land van de buiten de EU gevestigde leverancier. Het is daarmee de vraag of die modelcontracten aan de hoge "lat" van het Schrems-arrest voldoen.
Verder is de vraag of veel buitenlandse leveranciers genegen zullen zijn aan de verstrekkende verplichtingen uit de modelcontracten te voldoen. In mijn ervaring valt dit tegen.
Ad. 4. Binding Corporate Rules: niet voor de afnemer-leverancier relatie
Deze grondslag is met name geschikt voor doorgifte binnen een (grensoverschrijdend) concern en niet zozeer voor een afnemer-leverancier relatie. Ook hier is bovendien de vraag of de BCR eigenlijk wel voldoen aan de strenge criteria die het Hof stelt.
Ad. 5. Vergunning Minister: theoretische optie
Er kan een exportvergunning worden aangevraagd. De Minister kondigt in zijn brief ook aan te verwachten dat meer vergunningen zullen worden aangevraagd nu het Safe Harbor systeem ongeldig is verklaard. De vraag is echter of vergunningen voor export naar de USA niet ogenblikkelijk zullen leiden tot handhavend optreden door de Autoriteit Persoonsgegevens, zo vraagt ook de al eerder genoemde commissie van de Eerste Kamer zich af. Het lijkt dus vooral een theoretische optie.
Nieuwe Safe Harbor regeling vanaf eind januari?
In de tussentijd wordt er druk onderhandeld over een nieuwe Safe Harbor regeling. Dit heeft de Minister onlangs nog bevestigd in een brief aan de Eerste Kamer. De Minister spreekt de hoop uit dat de nieuwe regeling voor eind januari zal zijn vastgesteld. Die termijn is niet toevallig, omdat de toezichthouders hebben aangekondigd vanaf dat moment handhavend op te zullen gaan treden.
Of de nieuwe regeling er voor die tijd zal komen is (uiteraard) lastig te voorspellen. Naar mijn inschatting is de politieke wil er wel om het te regelen. Er zal dus ongetwijfeld (op termijn) wel een regeling opduiken.
De (meer strategische) vraag zal veeleer zijn of een nieuwe regeling toekomstbestendig is, of dat deze (op termijn) hetzelfde lot zal zijn beschoren als de vorige Safe Harbor regeling. Zolang de bescherming van privacy niet beter geborgd wordt in het Amerikaanse rechtstelsel, zullen immers de bezwaren van het Hof zoals verwoord in het Schrems-arrest onverkort overeind blijven staan.
Handhaving aangekondigd vanaf eind januari
Als de nieuwe Safe Harbor regeling er komt, en deze wordt door partijen nageleefd, dan zullen toezichthouders niet handhavend kunnen optreden wegens overtreding van het exportverbod. De nieuwe regeling vormt dan immers de rechtvaardiging voor de export van persoonsgegevens. Zolang die nieuwe beschikking niet ongeldig is verklaard door het Hof, is de betreffende export van persoonsgegevens rechtmatig (zie opnieuw r/o 52 van het arrest).
Interessanter wordt het wat er gebeurt als de regeling er niet of niet op tijd komt. Gaan de toezichthouders uitstel geven, of gaan ze op hun strepen staan? En indien er uitstel wordt verleend, voor hoe lang dan?
Indien het exportverbod immers op de lange termijn geheel niet gehandhaafd wordt, komt er een moment dat het verbod ongeloofwaardig wordt. Dat neemt overigens niet weg dat er dan nog steeds civiele claims van betrokkenen mogelijk zijn.
Indien het exportverbod wel wordt gehandhaafd, is de vraag of de Autoriteit Persoonsgegevens direct gebruik zal gaan maken van de nieuwe bevoegdheid tot het opleggen van boetes tot 820.000 euro, of dat ze gebruik zal maken van andere instrumenten als de last onder dwangsom of (al dan niet openbaar gemaakte) correspondentie. De vraag is immers of overtreding van het exportverbod een direct boete rechtvaardigt.
Genoeg vragen dus voor het nieuwe jaar. Het beloven interessante tijden te worden in het privacyrecht. We houden u op de hoogte.
