Gastblog: Gebruik van modelcontractbepaling vergt extra justificatie. Omgekeerde wereld?

| AE 7898 | Privacy | 10 reacties

cloud-flag-usaOmdat ik met vakantie ben vandaag een gastbijdrage. Vandaag: Marc Steenbergen over de Europese modelbepalingen voor export van persoonsgegevens.

De Data Protection Directive (officieel “Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data”) is de richtlijn binnen de Europese Unie met betrekking tot het verwerken van persoonlijke data. Sinds 1995 is dit een belangrijke onderdeel van Europese wetgeving over privacy en mensenrechten. In Nederland is de richtlijn omgezet in de Wet bescherming persoonsgegevens. In België geldt de Privacywet.

De huidige EU Data Protection Directive 95/46/EC houdt geen rekening met belangrijek aspecten zoals globalisatie en technologsiche ontwikkelingen zoals social networks, cloud computing, etc. De Europese Commissie heeft daarom bepaald dat een nieuwe richtlijn noodzakelijk is, die tevens een belangrijke rol kan spoelen in het bereiken van een “single digital market” binnen de EU. De verwachting is dat er in de loop van 2016 een definitief akkoord zal zijn over de nieuwe General Data Protection Regulation, die vanaf dat moment voor alle landen in de Europese Unie zal gelden.

Om gegevensuitwisseling tussen de Verenigde Staten (VS) en Europa mogelijk te maken waarbij door Amerikaanse bedrijven voldaan wordt aan de EU Data Protection Directive 95/46/EC is het VS-EU Safe Harbour mechanisme in het leven geroepen. Amerikaanse bedrijven die voldoen aan het Safe Harbour framework zijn daarmee compliant met de EU Data Protection Directive 95/46/EC. Amerikaanse organsiaties die gebruik willen maken van het Safe Harbour mechanisme moeten onder regulering staan van de Federal Trade Commission of het Department of Transportation, waardoor bv. financiele instellingen en non-profit organisaties er geen gebruik van kunnen maken. En het bepalen of een Amerikaans bedrijf voldoet aan de Safe Harbour vereisten is iets wat dat bedrijf zelf mag doen (“self certification”). Met andere woorden: de slager keurt zijn eigen vlees. Dat is voor veel Europese bedrijven geen situatie waardoor men de vereiste zekerheden verkrijgt. Zo heeft de Duitse data protectie autoriteit recent verkaard dat zij er geen voorstander van zijn om data overdracht op basis van Safe Harbor goed te keuren. En de Europese Commissie heeft zich uitgesproken voor een update van de Safe Harbor afspraken.

Naast het Safe Harbor mechanisme zijn er nog twee andere mechanismen om veilige gegevensoverdracht te waardborgen: EU Model Clauses en Binding Corporate Rules.

Binding Corporate Rules zijn gedragsregels, gedefinieerd en gecontroleerd door nationale Europese autoriteiten, die door multi-nationale bedrijven geïmplementeerd dienen te worden om al het interne grensoverschrijdende dataverkeer in vereenstemming te laten zijn met de Europese wetgeving. De EU Model Clauses zijn standaard contracten voor de overdracht van data tussen EU en niet-EU landen. De Europese Raad en het Europees Parlement hebben de Europese Commissie begin van deze eeuw de bevoegdheid gegeven om te beslissen op grond van artikel 26 van Richtlijn 95/46/EG dat bepaalde modelcontractbepalingen voldoende waarborgen bieden met betrekking tot de bescherming van de privacy en de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de bijbehorende rechten. De Europese Commissie heeft tot nu toe twee sets van modelcontractbepalingen vastgesteld: een set voor de overdracht van data controllers (“verantwoordelijken”) binnen de EU naar data controllers buiten de EU en een set voor de overdracht van data controller binnen de EU naar buiten de EU gevestigde data processors (“verwerkers”).

De afgelopen periode is het nodige te doen geweest rondom deze EU Model Clause. Sommige bedrijven gebruiken de EU Model Clauses al sinds ze beschikbaar gesteld zijn, in 2001. Andere partijen deden dat tot kort geleden niet, maar hebben recentelijk de terms & conditions van de EU Model Clauses geincorporeerd in eigen (cloud) contracten. Vervolgens hebben ze de Europese autoriteiten voor gegevensbescherming gevraagd om deze contracten goed te keuren. Nadat deze goedkeuring verkregen was, konden deze bedrijven het niet laten om luid van de kanseel te schreeuwen dat ze goedkeuring hadden gehad van de Europese Unie, met statements als “It is the only enterprise cloud that meets EU privacy law standards and be approved by the EU’s data protection authorities.” Dit heeft geleid tot verwarring in de markt omdat sommige eindgebruikers de perceptie kregen, of de perceptie werd aangepraat, dat alleen deze bedrijven compliant zouden zijn met de Europese wetgeving. Terwijl deze bedrijven in feite een probleem hebben opgelost wat ze jarenlang gehad hebben, daar waar andere bedrijven al die jaren lang al compliant waren aan de vereiste Europese wetgeving.

Navraag bij de EU 29 Working Group door partijen die sinds 2001 al exact de door de EU vastgelegde modelcontracten gebruiken, heeft (natuurlijk!) geresulteerd in de schriftelijke bevestiging dat zij compliant zijn met de Europese wetgeving. Wat logisch is, want dat is nou juist het principe van die model clausules!. En dergelijke schriftelijke bevestigingen worden dan weer gebruikt om eindgebruikersorganisaties duidelijk te maken dat de standaard EU Model Clause, “used ever since 2001”, toch echt voldoende is.

Eigenlijk vind ik dit best raar: er is een standaard. Een bedrijf heeft zich jarenlang niets gelegen laten liggen aan de EU Model Clause, besluit haar leven te beteren, incorporeert de EU Model Clause in haar contracten, vraagt confirmatie dat dit okee is, krijgt deze ook, en gebruikt dit voor tendentieuze marketingcommunicatie. Waardoor vervolgens partijen die vanaf dag 1 de standaard Eu Model Clause gebruikten gedwongen worden nog eens additioneel gaan uitleggen aan het publiek dat zij de standaard al sinds 2001 gebruiken, en dat de Europese autoriteiten dit nog eens expliciet hebben bevestigd dat dit die standaard goed is. Maar ja, het onderwerp data privacy is een uiterst gevoelig onderwerp, en terecht. Laten we daarom vooral goed en duidelijk, en feitelijk, blijven communiceren over de daartoe in het leven geroepen wetgeving. Want zoals Jim Barksdale, ex-CEO van Netscape ooit zei: “If we have facts ,let´s look at the facts. If we have opinions, let´s go with mine”.

Marc is Business Development Executive bij IBM. Dit artikel representeert zijn eigen mening en staat los van de opinie van zijn werkgever.

Deel dit artikel

    • hAl: dat is toch wel de omgekeerde wereld.

      ‘Ik houd me aan de wet’ is toch geen marketingtool. Of verwacht je dat ieder bedrijf een lijst op het website zet van alle regels waar ze zich aan houden?

      ‘Onze taxichauffeurs rijden niet te snel’ ‘Wij betalen op tijd onze belasting’ Wij hebben al 14 kwartalen achter elkaar onze BTW aangifte op tijd gedaan’ ‘Onze werknemers mogen lid zijn van een vakbond’ etc etc

          • Die bedrijven roepen dat omdat ze nieuwe modelcontract templates gebruiken bij ene nieuwe EU richtlijn. Dat doet iedereen in reclame. Pronken met vernieuwingen die eigenlijk vooral meer van het zelfde zijn.

            Het punt is echter dat de bedrijven die al lang aan de (oude) richtlijnen voldeden jaenlang een concurrentievoordeel hadden tov de bedrijven die het niet hadden en dat voordeel blijkbaar niet uitgebuit hebben en nu sneu kijken als andere partijen die zich later pas conformeren aan die richtlijnen wel op die voordelen willen concurreren.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS