Safe Harbor Agreement ongeldig

15 oktober (2015)

Safe Harbor Agreement met Amerika ongeldig verklaard door Europese hof.

Als u data van Europese klanten / bezoekers op uw website opslaat op servers die in Amerika staan, dan bent u bezig met het exporteren van persoonlijk identificeerbare informatie (PII) vanuit de EU naar Amerika.

Europese wetgeving staat het niet toe dit te doen tenzij u kunt aantonen dat u maatregelen neemt om de privacy en de data te beveiligen. Ongeveer 15 jaar geleden is er tussen Amerika en de EU een “Safe Harbor Agreement” gesloten wat inhield dat het geen probleem was om deze data in Amerika op te slaan. Er was afgesproken dat Amerika deze privacy zou garanderen onder het beding van deze afspraak. Het Europese hof heeft onlangs deze wet als ongeldig verklaard.

Strengere regelgeving

Europa heeft strengere wetgeving dan Amerika als het gaat om (data) privacy. Bedrijven die met PII omgaan mogen deze data niet zomaar buiten Europa opslaan zonder dat zij kunnen aantonen maatregelen te nemen om deze data te beschermen. Europese Wetgeving verlangt voor Privacybescherming dat het niveau van data protectie in het ontvangend land overeenkomt met de EU.

safeharbor_logoEind jaren 90 zijn er afspraken gemaakt tussen de Europese Unie en de Amerikaanse overheid betreffende de opslag van data in Amerika. Dit programma heet “Safe Harbor Program”. Europese bedrijven konden zich ook certificeren om aan te tonen aan hun klanten dat zij onder deze regels van het Safe Harbor Programma vallen en voldoen aan Europese wetgeving.

Het Europese hof heeft op 6 oktober 2015 besloten dat het Safe Harbor Program ongeldig is.

Hoe is dit zo gekomen?

Voormalig NSA medewerker Snowden heeft aangetoond dat de NSA (National Security Agency) actief aan het spioneren was in data van Europese klanten gehost op Amerikaanse servers. Een Australische student heeft een klacht ingediend tegen Facebook.

Het draaide in deze zaak om de vraag of de Europese dochtermaatschappij van Facebook in Ierland het recht had om persoonsgegevens door te geven aan de server van Facebook in de VS en deze daar vervolgens mocht verwerken.

De student had het doorgeven van de gegevens aangevochten na de onthullingen van Snowden over de werkwijze van inlichtingendiensten in de VS. Want in zijn optiek bieden de Amerikaanse wet- en regelgeving en de overheidsinstanties onvoldoende bescherming van persoonsgegevens tegen het gebruik ervan door inlichtingendiensten.

Op 6 oktober 2015 heeft het Europese strafhof hem in het gelijk gesteld en de overeenkomst nietig verklaard omdat aangetoond is dat de Amerikaanse overheid, ondanks de overeenkomst, toch toegang heeft gekregen tot data van Europese ingezetenen opgeslagen in Amerika.

Deze stap van het Europese hof is een zeer belangrijk signaal naar de Amerikaanse overheid. De EU geeft hiermee aan dat data opgeslagen in Amerika niet veilig is voor de Amerikaanse NSA. Hierbij heeft Amerika aangegeven dat de NSA geen onderdeel uitmaakt van het Safe Harbor Program en zich daar niet aan hoeft te houden. Derhalve heeft het Europese strafhof de overeenkomst ongeldig verklaard.

Better safe then sorry!

Het ongeldig verklaren van deze overeenkomst houdt concreet in dat het opslaan van PII van Europese ingezetenen op Amerikaanse servers, zonder eigen maatregelen of certificeringen, mogelijk strafbaar is. Let hierbij ook op de toekomstige “wet datalekken” en de verplichte “bewerkers overeenkomst” tussen u en de partij die uw klant gegevens ‘bewerkt’ (in een later blog hier meer informatie over)

De exacte impact van deze beslissing is op het moment nog verre van duidelijk. Heeft u een website of webshop die persoonlijke data opslaat die gehost wordt in Amerika, dan is dit misschien het moment om eens te heroverwegen waar u uw hosting onderbrengt.

Er zijn hosting bedrijven die specifieke afspraken en overeenkomsten met u kunnen sluiten voor de veiligheid van uw data. Dit kan voldoende zijn. Echter word er vaak vergeten dat de “Freedom act” ook van toepassing is. Ongeacht de overeenkomst tussen u en de hosting provider.

Het is bij veel hosting partijen niet duidelijk waar de opgeslagen data zich bevind. Sommige Nederlandse partijen maken zelfs gebruik van cloud oplossingen voor hun opslag die vervolgens ergens in Amerika staan. U kunt het uiteraard bij ze navragen. Kunnen zij het niet aantonen, weten ze het niet of willen zij deze informatie niet vrijgeven: better safe then sorry en verhuis uw websites / webshops / applicaties naar een hosting provider die alle data in Nederland opslaat.

Netaffairs heeft al haar servers in Nederland staan.

Geschreven door Lizet Beks