Bedrijven krijgen tot januari om data in VS te beveiligen

Het CBP en andere privacywaakhonden stellen straffe deadline voor databeveiliging na uitspraak Europese Hof.

De Europese privacytoezichthouders geven bedrijven tot en met januari de tijd om data op een veilige manier op te slaan in de Verenigde Staten. Als ze dat na die tijd nog verkeerd doen, gaan ze ingrijpen. Ook roepen ze de EU op om snel onderhandelingen te starten met de VS over een veilige doorgifte van persoonsgegevens.

Dat blijkt uit een gezamenlijke reactie van de toezichthouders, waaronder het College Bescherming Persoonsgegevens (CBP), op de recente uitspraak van het Europese Hof in de Safe Harbor-zaak.

Data mogen van de EU niet zomaar worden opgeslagen in een land buiten de EU zonder passende bescherming. Burgers moeten namelijk de garantie hebben dat persoonsgegevens veilig zijn bij bedrijven en dat hun data bijvoorbeeld niet wordt doorverkocht. Het Safe Harbor-verdrag was ervoor bedoeld om die bescherming te bieden en regelde de veilige data-opslag in de Verenigde Staten voor bedrijven.

Vorige week oordeelde het Europese Hof dat Safe Harbor onvoldoende bescherming biedt tegen massale surveillance door de Amerikaanse overheid. De zaak was door een Oostenrijker aangespannen vanwege opslag van zijn persoonlijke data door Facebook op Amerikaanse servers.

Het gevolg van de uitspraak is dat het Safe Harbor-verdrag niet meer kan worden gebruikt door de duizenden bedrijven die data opslaan op Amerikaanse servers. Het gaat niet alleen om grote technologiebedrijven zoals Facebook, maar ook om Europese ondernemingen die bijvoorbeeld klantgegevens opslaan via Amerikaanse clouddiensten.

De krappe deadline van januari die de privacytoezichthouders stellen kan daarom grote gevolgen hebben voor bedrijven. Er zijn volgens ICT-juristen ook andere juridische routes om gegevens legaal in de VS op te slaan. Maar de toezichthouders uiten twijfels daarover in hun reactie.

Ze benadrukken dat „organisaties die persoonsgegevens van Europese burgers verwerken, gebonden zijn aan de Europese privacywetgeving” en hameren erop dat organisaties die persoonsgegevens aan de VS doorgeven daar rekening mee moeten houden.

De toezichthouders doen ook een dringende oproep doen aan de Europese Commissie en Europese lidstaten om snel nieuwe afspraken te maken met de Verenigde Staten over adequate bescherming van data van Europese burgers. „Als eind januari 2016 nog geen oplossing is gevonden, zullen de toezichthouders alle noodzakelijke acties ondernemen.” Ze zijn gerechtigd om in sommige gevallen dataverkeer helemaal stop te zetten. Dat zou grote impact kunnen hebben voor de Europese economie.