Dinsdagochtend heeft het Europees Hof van Justitie besloten dat de privacygaranties in een besluit van de Europese Commissie tussen de Verenigde Staten en Europa onvoldoende zijn. Dat betekent dat bedrijven moeten gaan nadenken waar data in de cloud precies staat.
Inzet van de zaak is de Safe Harbor Agreement tussen Europa en de Verenigde Staten. Dit besluit is noodzakelijk, omdat de bescherming van de persoonlijke levenssfeer in Europa beter is geregeld dan in de VS. Je mag niet zomaar persoonsgegevens in een rechtsgebied bewaren dat niet voldoet aan onze standaarden, dus moest er iets worden geregeld.
Of de huidige Safe Harbor regels onze rechten wel voldoende waarborgt, was lang onduidelijk. Tót de onthullingen van Snowden kwamen en heel duidelijk werd dat onze gegevens massaal worden geanalyseerd door Amerikaanse inlichtingendienst NSA. Zo werd meer en meer duidelijk dat dit niet te verklaren is vanuit nationale veiligheid alleen, en dat er duidelijk ook economisch werd gespioneerd. Dat betekent dat persoonsgegevens zijn misbruikt. Volgens de VS is dat niet zo, maar onder ede durfde niemand dat bij de Ierse rechter te verklaren.
De Oostenrijker Max Schrems voerde een aantal zaken en sleepte rond de NSA-spionage uiteindelijk Facebook voor de rechter, omdat dat dat bedrijf onze gegevens op Amerikaanse servers verwerkt. Omdat het Europese hoofdkantoor van dit bedrijf in Ierland staat, moest daar worden geprocedeerd. Daar is het inmiddels bij het Hooggerechtshof die vragen aan het Europese Hof van Justitie stelde.
Uiteindelijk kwam het Europese Hof met het oordeel dat de beschermende maatregelen van de Safe Harbor Agreement onvoldoende zijn en daarmee wordt niet langer aan Europese regels voldaan. Kort gezegd: je mag data van Europese burgers niet zomaar in de Verenigde Staten opslaan. Daar wordt namelijk niet aan de bescherming voldaan die wij gewend zijn.
Dat betekent niet dat er niets in de VS mag worden opgeslagen, maar dat daarover afspraken moeten zijn gemaakt. Amerikaanse bedrijven moeten nu zelf met de toezichthouder (in ons geval het CBP) afspraken en deze vastleggen in Binding Corporate Rules (BCR), zodat er meer zekerheid is dat aan onze wetgeving wordt voldaan. Dat Facebook, Google en andere bedrijven dit gaan doen, is wel duidelijk.
Maar voor Nederlandse bedrijven betekent dit dat er meer moet worden nagedacht wat er met persoonsgegevens gebeurt. Je kunt niet langer zeggen “het staat in de cloud”, maar je moet meer van die cloud weten. Na 1 januari 2016 kan de toezichthouders forse boetes opleggen wie zich niet aan de wetgeving houdt. Daarbij kun je niet zomaar de schuld in de schoenen schuiven van de cloudleverancier.
De uitspraak betekent dus dat de bedrijven zelf verantwoordelijkheid moeten nemen wat ze met onze gegevens doen. Afspraken tussen toezichthouders en cloudaanbieders zul je moeten checken. Bijna religieus naar de hemel wijzen zeggen “jouw data is nu daar” is sinds vandaag echt onvoldoende.