"Voor futureproof ondernemen in flex"
SLUIT MENU

Strijd om het privacyrecht

Wat betekent het werken in de cloud voor het privacyrecht?

Bij privacyrichtlijnen denken we aan opslag van gegevens. Wat mag je wel/niet registreren? Wie kan dit inzien? Hoe lang mogen gegevens worden bewaard? Allemaal vragen die belangrijk zijn in het kader van het recht op privacy.

Naast onze regels voor privacy speelt er ook een strijd over het privacyrecht tussen continenten. Europeanen hebben een andere visie op privacy rondom persoonsgegevens dan Amerikanen.

De software waarmee wij in Nederland en Europa persoonsgegevens registreren overschrijdt echter inmiddels al lang ons continent.

Alles in de cloud
Software draait niet meer op een zoemende computer op zolder of in de kelder van de onderneming. Software wordt niet meer geïnstalleerd door rare lui in T-shirts met afbeeldingen van onduidelijke hardrock bandjes er op. Software draait ergens. ASP/SAAS, hoe dan ook online. Ergens in de wereld, aan de poolcirkel of in de woestijn van Californië worden de data opgeslagen en gebruikt. Daar maakt de software de output die overal op de wereld nuttige dingen doet. Leveranciers hebben alleen nog lokaal een kantoor met verkopers van techniek en technische ontzorging. Plaatjes met instructies vervangen de nerds.

HR, hosting van personeelsdata, software voor het managen van flexwerk, management tools, MS office: de cloud is het antwoord op alles.

Opslag in VS
De VS zijn de onbetwiste online kampioen. Ook in de flex sector. Wie heeft geen ASP-oplossing? Bijvoorbeeld voor zijn HR-werkzaamheden? Voor het bijhouden van de boekhouding, de salarisadministratie, de CRM, de kandidaten? Veel van al die software komt uit de VS en staat dus ook in het moederland van die techniek.

Is er nog een Europeaan te vinden van wie er geen data in de VS zijn opgeslagen? Van een heel grote meerderheid zijn de zwervende data er al aangeland. Die data worden daar gecheckt door geheime diensten in het belang van de veiligheid van Amerikaanse burgers. Deze geheime diensten gebruiken data sleeptechnieken die volgens Europese regels in strijd zijn met ons mensenrecht op privacy.

Een tijdlang maakte dit niet niet uit, omdat er een ‘work-around’ was bedacht. De Europese Commissie gaf aan dat als bedrijven nu maar verklaarden de principes van ‘Safe Harbor’ te onderschrijven – principes die vergelijkbaar zijn met onze privacy regels – zij de NSA-narigheid door de vingers zou zien. Voor bedrijven die dat onderschrijven bleef het mogelijk onze Europese data op te slaan in hun applicaties.

Einde aan ‘Safe Harbor’-beschikking
Het Hof van Justitie haalde recent een dikke streep door die beschikking van de Europese Commissie.
Sinds dinsdag 6 oktober 2015 bestaat deze ‘Safe Harbor’-beschikking niet meer. De Oostenrijker Schrems procedeerde tot de hoogste rechter tegen Facebook en bij die hoogste rechter ging de beschikking reddeloos onderuit. Daarmee is de VS geen land meer waar data zo maar naar toe mogen. De VS kent niet een door ons geëiste minimale privacybescherming, ook niet bij bedrijven die zich zeggen te houden aan ‘Safe Harbor’ beginselen.

Hoe nu verder? Het Europese privacyrecht heeft oplossingen voor veel van dit soort problemen. Immers principes zijn leuk maar het datagebruik moet door. Daarom kunnen data wel degelijk naar de VS (en naar andere onveilige landen) als aan bepaalde voorwaarden wordt voldaan. Een voorwaarde die voor ondernemers van belang is, is dat zij data ook naar een onveilig land kunnen doorgeven als de betrokken partijen daarbij door de Europese Commissie opgestelde modelbepalingen in hun contract zetten.

Modelbepalingen
We hoeven dan alleen even in de algemene voorwaarden van de leverancier die modelbepalingen te zetten (of te checken of die er al niet instaan: dat is namelijk ook wel al eens het geval) en we kunnen weer rustig slapen. Binnen een concern (met vestigingen in de EU en de VS) kan een vergelijkbare situatie worden gecreëerd met zogenaamde ‘binding corporate rules’.

Maar is die rust geen schijn? De Duitse toezichthouder vindt al dat het hele systeem met de uitspraak van het hof op de helling gaat. En dat ook met deze contractbepalingen geen data meer naar de VS kunnen.

Stel dat de Duitsers ongelijk hebben? En het zou nog wel kunnen op basis van die contractbepalingen? Het Europese recht biedt die mogelijkheid immers nog met zoveel woorden. Dan blijven die modelbepalingen nog altijd contractbepalingen. Daar moeten de partijen zich bij zo’n contract aan houden. Wat staat er dan in die modelbepalingen? De modelbepalingen zeggen onder meer dat de data-exporteur (het Europese bedrijf dat de data laat hosten) en de data-importeur (de Amerikaanse hostingpartij) zich aan de Europese wet moeten houden. So far so good. We verklaren iets, beloven iets en ondertussen gaat de NSA zijn gang. Zo was het ook onder ‘Safe Harbor’. Goed beschouwd is daar weinig ‘safes’ aan.

Toch is het niet zo simpel. De Amerikanen moeten zo’n contract met die bepalingen ook maar willen tekenen. Ze laten steeds vaker liever dollars liggen uit angst voor claims.

Analyse van risico’s
De Nederlandse toezichthouder heeft in een eerste reactie gemeld dat de soep voorlopig nog niet zo heet gegeten wordt. De Duitse toezichthouder wil alle dataverkeer naar de VS verbieden. Hoe zal het gaan met Schrems-volgers? Er wordt veel geschreven over privacy. De bijna totale lijdelijkheid die we tot dusver zagen, kan een stilte voor de storm zijn.

Ondernemers dienen daarom de vinger aan de pols te houden en een analyse van de juridische en politiek/commerciële risico’s te maken.
Als de Duitsers hun zin krijgen moeten we allemaal snel terug naar ons eigen continent met onze data.

Jetse Sprey
Versteeg Wigman Sprey Advocaten

Jetse Sprey spreekt tijdens een seminar voor de flexbranche op 3 november a.s. over privacyrecht en de Wet bescherming persoonsgegevens. Lees meer

Flexnieuws geeft ruimte aan auteurs die een artikel willen plaatsen op Flexnieuws.