Op 6 oktober 2015 heeft het Europese Hof het Safe Harbor-verdrag ongeldig verklaard. Het Safe Harbor-verdrag regelt de privacy van persoonsgegevens van Europeanen die doorgegeven worden naar de Verenigde Staten. Op basis van onthullingen van klokkenluider Edward Snowden vindt het Hof dat deze gegevens in dat land onvoldoende worden beschermd, en dat het verdrag daarom ongeldig is.
De grote vraag is natuurlijk wat de consequenties van deze beslissing zijn voor Nederlandse organisaties die gebruik maken van dienstaanbieders in de V.S. voor het verwerken van persoonsgegevens. Mijn eerste inschatting is dat het allemaal meevalt. Safe Harbor was feitelijk niet veel meer dan een periodieke self-assessment tegen een aantal privacy principes zonder enige toezicht op naleving. Een soort vijgenblad waarachter de Amerikaanse dienstaanbieder zich kon verschuilen, maar die weinig zekerheid bood voor de Nederlandse organisatie of gebruiker. Dat is altijd een gegeven geweest. Immers, zowel de Europese Artikel 29-werkgroep als het CBP hebben altijd benadrukt dat de Nederlandse organisatie die met een Amerikaanse partij in zee gaat méér moet doen dan controleren of de Amerikaanse partij bij Safe Harbor is aangesloten. Aansluiting van de Amerikaanse partij bij Safe Harbor maakt doorgifte van persoonsgegevens toelaatbaar, maar is op zichzelf niet afdoende. De Nederlandse organisatie dat de persoonsgegevens doorgeeft zal niet alleen moeten controleren of de Amerikaanse partij zich aan Safe Harbor houdt, maar zal ook moeten verifiëren dat de Wet Bescherming Persoonsgegevens wordt nageleefd. Uitgangspunt is dat de Nederlandse organisatie eindverantwoordelijk is voor de naleving van deze wet.