Op 6 oktober 2015 heeft het Europese Hof het Safe Harbor-verdrag ongeldig verklaard. Het Safe Harbor-verdrag regelt de privacy van persoonsgegevens van Europeanen die doorgegeven worden naar de Verenigde Staten. Op basis van onthullingen van klokkenluider Edward Snowden vindt het Hof dat deze gegevens in dat land onvoldoende worden beschermd, en dat het verdrag daarom ongeldig is.

De grote vraag is natuurlijk wat de consequenties van deze beslissing zijn voor Nederlandse organisaties die gebruik maken van dienstaanbieders in de V.S. voor het verwerken van persoonsgegevens. Mijn eerste inschatting is dat het allemaal meevalt. Safe Harbor was feitelijk niet veel meer dan een periodieke self-assessment tegen een aantal privacy principes zonder enige toezicht op naleving. Een soort vijgenblad waarachter de Amerikaanse dienstaanbieder zich kon verschuilen, maar die weinig zekerheid bood voor de Nederlandse organisatie of gebruiker. Dat is altijd een gegeven geweest. Immers, zowel de Europese Artikel 29-werkgroep als het CBP hebben altijd benadrukt dat de Nederlandse organisatie die met een Amerikaanse partij in zee gaat méér moet doen dan controleren of de Amerikaanse partij bij Safe Harbor is aangesloten. Aansluiting van de Amerikaanse partij bij Safe Harbor maakt doorgifte van persoonsgegevens toelaatbaar, maar is op zichzelf niet afdoende. De Nederlandse organisatie dat de persoonsgegevens doorgeeft zal niet alleen moeten controleren of de Amerikaanse partij zich aan Safe Harbor houdt, maar zal ook moeten verifiëren dat de Wet Bescherming Persoonsgegevens wordt nageleefd. Uitgangspunt is dat de Nederlandse organisatie eindverantwoordelijk is voor de naleving van deze wet.

Daarnaast is een bewerkersovereenkomst altijd vereist (met of zonder Safe Harbor). Hierin wordt door de Nederlandse organisatie aangegeven op welke manier de persoonsgegevens verwerkt moeten worden door de Amerikaanse partij. De verwerking zal typisch gebaseerd zijn op de fair information principles. Dat wil zeggen dat ze persoonsgegevens goed beveiligen, alleen voor een bepaald doel gebruiken, niet onnodig gegevens verzamelen en deze delen met derden, de rechten van het individu respecteren, transparantie bieden over de verwerking en beveiliging van gegevens, en hierover verantwoording kunnen afleggen. Dat is veel werk, en, afgezien van het feit of Amerikaanse partijen dit willen, is het überhaupt nog maar de vraag of ze hieraan kunnen voldoen. Er zijn de laatste jaren namelijk verschillende Amerikaanse wetten in het leven geroepen die het andere Amerikaanse partijen mogelijk maken de gegevens van o.a. Europeanen in te zien.

En wat zal de eindgebruiker ervan merken? Dat zal zich waarschijnlijk uiten in vooral cosmetische consent constructies van de getroffen partijen waarbij ze toestemming moet geven voor de verwerking van de gegevens.

Misschien dat een nieuw Safe Harbor-verdrag, dat in de maak is, meer soelaas biedt. Tot die tijd is het verstandigste om de verwerking en opslag van persoonsgegevens aan Europese organisaties uit te besteden. Houd de gegevens binnen Europa. Dit maakt het leven een stuk eenvoudiger en voorkomt ‘gedoe’ rondom privacy.