Gepubliceerd op: 17/02/2018

Moet ik mijn datacenters verhuizen naar Europa?

Moet ik mijn gegevens in de cloud verplaatsen naar Europa?

Vanaf 25 mei 2018 treedt de General Data Protection Regulation (GDPR) of de Algemene Verordening Gegevensbescherming (AVG) in heel de Europese Unie in werking.  De GDPR legt een aantal nieuwe verplichtingen op aan ondernemingen op het vlak van privacy.  Vele ondernemingen bewaren hun data in de cloud.   Mogen ondernemingen hun datacenters nog in Amerika of andere derde landen behouden zonder dat dit een overtreding uitmaakt op de GDPR?  Is het gebruik van iCloud van Apple, Microsoft Azure, Amazon Cloud, Mailchimp, enz…in gevaar?

Zijn er beperkingen op het doorsturen van persoonsgegevens naar andere landen of op het opslaan van gegevens op servers in andere landen?

Vrije transfers van persoonsgegevens binnen de Europese Economische Ruimte (EER).

Binnen de Europese Economische Ruimte, bestaande uit de Europese Unie, Noorwegen, Ijsland en Liechtenstein, kunnen persoonsgegevens in principe vrij circuleren. De hele Europese Unie hanteert immers hetzelfde hoge beschermingsniveau van de persoongegevens.

Dataransfers buiten de Europse Economische Ruimte?

Van zodra persoonsgegevens de EER verlaten, gelden er andere regels.  Persoonsgegevens kunnen de EER verlaten, bijvoorbeeld wanneer zij worden opgeslagen op servers in derde landen of worden bewaard door gelieerde ondernemingen in derde landen.

Adequaatheidsbesluiten.

Voor een aantal landen heeft de Europese Commissie bepaald of deze landen een passend beschermingsniveau hebben.  De Commissie nam hiertoe zgn. “adequaatheidsbesluiten” aan.  Zij heeft hiertoe de bevoegdheid op grond van art. 45 GDPR.  Tot op heden heeft de Europese Commissie adequaatheidsbesluiten genomen voor de volgende landen:

  • Andorra
  • Argentinië
  • Canada
  • Faeröer Eilanden
  • Guernsey
  • Israël
  • Het Eiland Man
  • Jersey
  • Nieuw Zeeland
  • Uruguay
  • VS (onder de vorm van "EU-US-privacy Shield")
  • Zwitserland

Deze landen vormen de zogenaamde "witte lijst".

Momenteel voert de Commissie gesprekken met Japan en Zuid-Korea. Onder de GDPR zal de Europese Commissie deze adequaatheidsbesluiten periodiek herbekijken.  De adequaatheidsbesluiten van de Europese Commissie kunnen worden aangevochten voor het Europese Hof van Justitie.

Voor de landen waarvoor er een adequaatheidsbesluit bestaat, geldt dezelfde vrijheid als voor de doorgifte van gegevens binnen de EER.  Voor het bewaren van persoonsgegevens op servers in Amerika is er bijgevolg geen probleem, maar de VS heeft toch een bijzondere plaats mbt de privacyregelgeving: zij fungeren eigenlijk niet op de "witte lijst" van de Europese Commissie, omdat de Amerikaanse wettelijke privacybescherming niet afdoende is), maar de Amerikaanse bedrijven die zijn aangesloten op het "EU-US Privacy Shield" worden geacht onder hetzelfde regime te vallen als de "witte lijst".

Wat met landen zonder adequaatheidsbesluit?

Doorgifte van data aan derde landen die niet op de "witte lijst" van de adequaatheidsbesluiten staan, is in principe verboden, tenzij in deze gevallen:

  1. U heeft passende waarborgen genomen (art. 46 GDPR).
  2. U beroept zich op een uitzonderingsgrond bepaald in art. 49 GDPR.
Passende waarborgen (art. 46 GDPR).

Onder “passende waarborgen” wordt verstaan, wanneer u zelf bijkomende maatregelen neemt om contractueel de nodige bescherming van persoonsgegevens te waarborgen en de betrokkenen over afdwingbare rechten en rechtsmiddelen beschikken.

Deze passende waarborgen worden onderverdeeld in twee categorieën:

a. Passende waarborgen waarvoor geen toestemming van de Privacycommissie nodig is:

Het gaat dan om de volgende systemen:

  • Bindende bedrijfsvoorschriften (BCRs) zoals voorzien in art. 47 GDPR;
  • Standaard Contractsbepalingen (SCCs) vastgesteld of goedgekeurd door de Europese Commissie;
  • Gedragscodes;
  • Certificeringen.

b. Passende waarborgen waarvoor wél de toestemming van de Privacycommissie nodig is:

  • Ad hoc (eigen) contractsbepalingen;
  • Administratieve regelingen tussen overheidsinstanties.
Wettelijke uitzonderingen (art. 49 GDPR).

Zonder adequaatheidsbesluit of passende maatregelen, zal u toch persoonsgegevens naar een derde land kunnen doorsturen in de volgende uitzonderlijke situaties:

  • Ondubbelzinnige toestemming;
  • Noodzakelijk voor de uitvoering van de overeenkomst tussen betrokkene en verantwoordelijke;
  • Noodzakelijk voor de uitvoering van de overeenkomst in het belang van de betrokkene;
  • Zwaarwegend algemeen belang of verdediging van een recht in rechte;
  • Vrijwaring vitaal belang;
  • De doorgifte is verricht vanuit een openbaar register.
Kan u uw verzamelde persoonsgegevens blijven bewaren op servers in de Verenigde Staten?

Om zeker te zijn, kijkt u best de privacyverklaringen na van uw cloudaanbieder, maar u mag er van uitgaan dat de meeste Amerikaanse bedrijven die cloudservices aanbieden (Apple, Amazon, Microsoft, ....) nu op de lijst staan van het EU-US Privacy Shield.  Als dit niet het geval zou zijn, mag u er in de meeste gevallen van uitgaan dat de Amerikaanse bedrijven geopteerd hebben voor "passende waarborgen" onder de vorm van modelcontracten van de Europese Commissie (SCCs).

Safe Harbor, EU-US Privacy Shield en de speciale situatie van de Verenigde Staten.

Voor de doorgifte van persoonsgegevens aan de VS gold oorspronkelijk het adequaatheidsbesluit van de Europese Commissie van 26 juli 2000, de zgn. Safe Harbor-beslissing.  Het betrof een systeem van zelfcertificering van Amerikaanse bedrijven die zich ertoe verbonden om bepaalde privacy-beginselen na te leven.

Het Hof van Justitie vernietigde de Safe Harbor-beslissing in het bekende Arrest  "Schrems" van 6 oktober 2015, genoemd naar de Oostenrijkse student die de zaak had opgestart.  De reden waarom Safe Harbor werd vernietigd was bleek dat de Amerikaanse overheid en de inlichtingendiensten toegang hadden tot de Europese persoonsgegevens die onder Safe Harbor werden doorgestuurd, en dat er geen afdoende rechtsmiddelen bestonden voor de betrokkenen in de VS.

Door de vernietiging van Safe Harbor waren de datatransfer tussen de EU en de VS plots ongeldig. Na onderhandeling onder President Obama heeft de Europese Commissie op 12 juli 2016 een nieuw adequaatheidsbesluit uitgevaardigd: het " EU-US Privacy Shield".  Privacy Shield is een aparte geval: het is opnieuw een systeem van zelfscertificering waar Amerikaanse bedrijven zich kunnen zich kunnen bij aansluiten.

Het is een open vraag of onder President Trump Privacy Shield zal standhouden.

Pieter Pauwels

Anderen lazen ook

Domeinnaam gekaapt?

Bent u het slachtoffer van dommeinnaamkaping of cybersquatting? Wanneer spre...

Wat als uw klanten op een verkeerde rekening hebben betaald?

U heeft een zaak overgenomen met bestaand cliënteel, en uw nieuwe klanten moe...

Mag ik een camera plaatsen aan de voorgevel van mijn woning?

Dashcams, videoparlofoons, bewakingscamera's,... Dergelijke toestellen zijn i...
Geïnteresseerd in onze juridische onderwerpen?

Schrijf je in voor onze nieuwsbrief en blijf op de hoogte van wat er leeft bij Pauwels Advocaten.

Loading...

Disclaimer

De informatie over juridische onderwerpen die u in deze bijdrage aantreft, zijn louter informatieve, algemene besprekingen en kunnen in geen geval als juridisch advies worden beschouwd. Pauwels Advocaten aanvaardt geen aansprakelijkheid voor enige schade die iemand zou lijden door voort te gaan op deze informatie. Als u juridisch advies wenst, dient u contact op te nemen met een gekwalificeerde advocaat die u zal adviseren op basis van uw persoonlijke situatie.