Overgenomen van Informatiebeveiligingdienst (IBD)

De juridische basis voor de uitwisseling van persoonsgegevens tussen de EU en de Verenigde Staten (VS) gaat grotendeels op de schop. Het Europese Hof van Justitie heeft namelijk onlangs het Safe Harbor-verdrag ongeldig verklaard. Welke consequenties heeft dit voor organisaties en dus ook voor gemeenten?

Wat is Safe Harbor?

In de VS bestaat geen algemene wetgeving voor de bescherming van persoonsgegevens. Daarom heeft de Europese Commissie (EC) over de VS een speciale uitspraak gedaan. Die uitspraak luidt als volgt: In de VS is er alléén sprake van een passend beschermingsniveau bij organisaties die zich houden aan de zogeheten ‘Safe Harbor Principes’. Dit is een overeenkomst tussen de VS en de Europese Economische Ruimte (EER). Hierin staat dat gegevens van Europese burgers worden beschermd, indien bedrijven persoonsgegevens van haar gebruikers naar de VS doorgeeft en bewaart op servers die zich in de VS bevinden. Het verdrag omvat omgangsprincipes voor privacygevoelige gegevens. Deze principes zijn niet bindend voor de VS in zijn geheel, maar alleen voor bedrijven die zich – vrijwillig – aan de Safe Harbor-principes houden en zich overeenkomstig daarmee laten registreren. Daarmee zijn deze bedrijven ‘veilige havens’ voor Europese data.

Ongeldig verklaard

Deze Safe Harbor-overeenkomst is echter op 6 oktober 2015 ongeldig verklaard door het Europees Hof van Justitie. Hoofdreden hiervoor is dat de VS de bescherming van de privacy van die Europese gegevens niet goed genoeg respecteert. De gegevens van Europese burgers zijn, indien gehost in de VS, toegankelijk voor de Amerikaanse overheid blijkt uit onthullingen van de NSA. Werkte het verdrag dan wel in de praktijk? Niet echt blijkt nu. De bepalingen worden in de praktijk namelijk niet altijd gehandhaafd. De Europese privacy toezichthouders stelden daarom al in 2014 dat de Safe Harbor-overeenkomst opgeschort zou moeten worden als er geen verbetering zou komen in de privacy-waarborgen bij de doorgifte van persoonsgegevens aan de VS.

Wat betekent dit voor gemeenten?

Wat verandert er eigenlijk naar aanleiding van deze uitspraak voor gemeenten die zaken doen met Safe Harbor partijen? Het is nog afwachten wat de exacte gevolgen zijn. Het College Bescherming Persoonsgegevens (CBP) beraadt zich momenteel nog over de juridische consequenties. Tevens onderzoeken de Europese privacytoezichthouders op dit moment welke gevolgen de uitspraak van het Europees Hof van Justitie heeft voor doorgiftes van persoonsgegevens aan de VS op een andere juridische basis. Voor gemeenten die hosten bij partijen binnen de EER verandert er niets. Verandert er nu iets op informatieveiligheidsvlak? Nee, de situatie is namelijk nog steeds identiek. Van partijen die hosten binnen Safe Harbor mag verwacht worden dat zij zorgvuldig met gehoste gegevens om (blijven) gaan. Wilt u op de hoogte blijven? Zie hiervoor de website van het CBP.

Tips

Tenslotte nog een tweetal concrete tips voor gemeenten in de opdrachtverstrekking naar leveranciers: • Host binnen de EER, • Wees je ervan bewust dat je om een toereikend beveiligingsniveau te bereiken zogenaamde modelcontractbepalingen kunt gebruiken.

Host uw gemeente momenteel buiten de EER, maar binnen Safe Harbor? Overweeg dan migratie en wacht hierbij op de uitspraken van het CBP. Host uw gemeente buiten Safe Harbor? Migreer dan en neem de huidige werkwijze voor doorgifte van persoonsgegevens aan de VS onder de loep en neem mogelijke privacyrisico’s weg.

Afspraken rondom informatieveiligheid

Kortom, het is belangrijk dat je als gemeente in alle gevallen gebruikelijke en heldere afspraken moet maken met leveranciers rondom informatieveiligheid. Dit kan bijvoorbeeld door middel van een Bewerkersovereenkomst, Service Level Agreements (SLA) en een Dossier Afspraken en Procedures (DAP). Het is belangrijk om bij bestaande overeenkomsten je af te vragen waar de data wordt opgeslagen. Vanaf 1 januari wordt ook meldplicht datalekken actief. In dat verband is het tevens belangrijk om andere afspraken te maken of aan te scherpen met leveranciers, denk hier aan: het melden van incidenten met persoonsgegevens, het treffen van passende beveiligingsmaatregelen etc.