Omdat ik met vakantie ben vandaag een gastbijdrage. Vandaag: Marc Steenbergen over de Europese modelbepalingen voor export van persoonsgegevens.
De Data Protection Directive (officieel “Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data”) is de richtlijn binnen de Europese Unie met betrekking tot het verwerken van persoonlijke data. Sinds 1995 is dit een belangrijke onderdeel van Europese wetgeving over privacy en mensenrechten. In Nederland is de richtlijn omgezet in de Wet bescherming persoonsgegevens. In België geldt de Privacywet.
De huidige EU Data Protection Directive 95/46/EC houdt geen rekening met belangrijek aspecten zoals globalisatie en technologsiche ontwikkelingen zoals social networks, cloud computing, etc. De Europese Commissie heeft daarom bepaald dat een nieuwe richtlijn noodzakelijk is, die tevens een belangrijke rol kan spoelen in het bereiken van een “single digital market” binnen de EU. De verwachting is dat er in de loop van 2016 een definitief akkoord zal zijn over de nieuwe General Data Protection Regulation, die vanaf dat moment voor alle landen in de Europese Unie zal gelden.
Om gegevensuitwisseling tussen de Verenigde Staten (VS) en Europa mogelijk te maken waarbij door Amerikaanse bedrijven voldaan wordt aan de EU Data Protection Directive 95/46/EC is het VS-EU Safe Harbour mechanisme in het leven geroepen. Amerikaanse bedrijven die voldoen aan het Safe Harbour framework zijn daarmee compliant met de EU Data Protection Directive 95/46/EC. Amerikaanse organsiaties die gebruik willen maken van het Safe Harbour mechanisme moeten onder regulering staan van de Federal Trade Commission of het Department of Transportation, waardoor bv. financiele instellingen en non-profit organisaties er geen gebruik van kunnen maken. En het bepalen of een Amerikaans bedrijf voldoet aan de Safe Harbour vereisten is iets wat dat bedrijf zelf mag doen (“self certification”). Met andere woorden: de slager keurt zijn eigen vlees. Dat is voor veel Europese bedrijven geen situatie waardoor men de vereiste zekerheden verkrijgt. Zo heeft de Duitse data protectie autoriteit recent verkaard dat zij er geen voorstander van zijn om data overdracht op basis van Safe Harbor goed te keuren. En de Europese Commissie heeft zich uitgesproken voor een update van de Safe Harbor afspraken.
Naast het Safe Harbor mechanisme zijn er nog twee andere mechanismen om veilige gegevensoverdracht te waardborgen: EU Model Clauses en Binding Corporate Rules.
Binding Corporate Rules zijn gedragsregels, gedefinieerd en gecontroleerd door nationale Europese autoriteiten, die door multi-nationale bedrijven geïmplementeerd dienen te worden om al het interne grensoverschrijdende dataverkeer in vereenstemming te laten zijn met de Europese wetgeving. De EU Model Clauses zijn standaard contracten voor de overdracht van data tussen EU en niet-EU landen. De Europese Raad en het Europees Parlement hebben de Europese Commissie begin van deze eeuw de bevoegdheid gegeven om te beslissen op grond van artikel 26 van Richtlijn 95/46/EG dat bepaalde modelcontractbepalingen voldoende waarborgen bieden met betrekking tot de bescherming van de privacy en de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de bijbehorende rechten. De Europese Commissie heeft tot nu toe twee sets van modelcontractbepalingen vastgesteld: een set voor de overdracht van data controllers (“verantwoordelijken”) binnen de EU naar data controllers buiten de EU en een set voor de overdracht van data controller binnen de EU naar buiten de EU gevestigde data processors (“verwerkers”).
De afgelopen periode is het nodige te doen geweest rondom deze EU Model Clause. Sommige bedrijven gebruiken de EU Model Clauses al sinds ze beschikbaar gesteld zijn, in 2001. Andere partijen deden dat tot kort geleden niet, maar hebben recentelijk de terms & conditions van de EU Model Clauses geincorporeerd in eigen (cloud) contracten. Vervolgens hebben ze de Europese autoriteiten voor gegevensbescherming gevraagd om deze contracten goed te keuren. Nadat deze goedkeuring verkregen was, konden deze bedrijven het niet laten om luid van de kanseel te schreeuwen dat ze goedkeuring hadden gehad van de Europese Unie, met statements als “It is the only enterprise cloud that meets EU privacy law standards and be approved by the EU’s data protection authorities.” Dit heeft geleid tot verwarring in de markt omdat sommige eindgebruikers de perceptie kregen, of de perceptie werd aangepraat, dat alleen deze bedrijven compliant zouden zijn met de Europese wetgeving. Terwijl deze bedrijven in feite een probleem hebben opgelost wat ze jarenlang gehad hebben, daar waar andere bedrijven al die jaren lang al compliant waren aan de vereiste Europese wetgeving.
Navraag bij de EU 29 Working Group door partijen die sinds 2001 al exact de door de EU vastgelegde modelcontracten gebruiken, heeft (natuurlijk!) geresulteerd in de schriftelijke bevestiging dat zij compliant zijn met de Europese wetgeving. Wat logisch is, want dat is nou juist het principe van die model clausules!. En dergelijke schriftelijke bevestigingen worden dan weer gebruikt om eindgebruikersorganisaties duidelijk te maken dat de standaard EU Model Clause, “used ever since 2001”, toch echt voldoende is.
Eigenlijk vind ik dit best raar: er is een standaard. Een bedrijf heeft zich jarenlang niets gelegen laten liggen aan de EU Model Clause, besluit haar leven te beteren, incorporeert de EU Model Clause in haar contracten, vraagt confirmatie dat dit okee is, krijgt deze ook, en gebruikt dit voor tendentieuze marketingcommunicatie. Waardoor vervolgens partijen die vanaf dag 1 de standaard Eu Model Clause gebruikten gedwongen worden nog eens additioneel gaan uitleggen aan het publiek dat zij de standaard al sinds 2001 gebruiken, en dat de Europese autoriteiten dit nog eens expliciet hebben bevestigd dat dit die standaard goed is. Maar ja, het onderwerp data privacy is een uiterst gevoelig onderwerp, en terecht. Laten we daarom vooral goed en duidelijk, en feitelijk, blijven communiceren over de daartoe in het leven geroepen wetgeving. Want zoals Jim Barksdale, ex-CEO van Netscape ooit zei: “If we have facts ,let´s look at the facts. If we have opinions, let´s go with mine”.
Marc is Business Development Executive bij IBM. Dit artikel representeert zijn eigen mening en staat los van de opinie van zijn werkgever.
Tja. Marketing is precies zo hard liegen als is toegestaan binnen de wet (en vaak zelfs een beetje meer).
Even zeuren over onnodig Engels: het is een richtlijn, de ‘officiële’ naam in ons taalgebied is dus ‘Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’ (bron: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:NL:HTML).
Het is misschien meer een marketing failure van die andere partijen die al 14 jaar lang hadden kunnen melden dat zij wel compliant waren met de EU regels op het gebied van privacy en de rest niet.
hAl: dat is toch wel de omgekeerde wereld.
‘Ik houd me aan de wet’ is toch geen marketingtool. Of verwacht je dat ieder bedrijf een lijst op het website zet van alle regels waar ze zich aan houden?
‘Onze taxichauffeurs rijden niet te snel’ ‘Wij betalen op tijd onze belasting’ Wij hebben al 14 kwartalen achter elkaar onze BTW aangifte op tijd gedaan’ ‘Onze werknemers mogen lid zijn van een vakbond’ etc etc
Als jij een unique selling point tov concurrenten dan adverteer je daar zeker wel mee. Je hoef niet zozeer te adverteren met alle regels waar je je aan houdt maar wel met zaken waar concurrenten op de markt niet aan (kunnen) voldoen en die wel relevant zijn voor een mogelijke klant.
Dat is irrelevant voor deze discussie want het gaat hier om iets waar de concurrenten al jaren aan voldeden, en deze bedrijven pas sinds kort. Die laatste bedrijven wekken nu de indruk (of roepen zelfs keihard) dat zij als enige hieraan voldoen, wat een direkte onwaarheid is.
Die bedrijven roepen dat omdat ze nieuwe modelcontract templates gebruiken bij ene nieuwe EU richtlijn. Dat doet iedereen in reclame. Pronken met vernieuwingen die eigenlijk vooral meer van het zelfde zijn.
Het punt is echter dat de bedrijven die al lang aan de (oude) richtlijnen voldeden jaenlang een concurrentievoordeel hadden tov de bedrijven die het niet hadden en dat voordeel blijkbaar niet uitgebuit hebben en nu sneu kijken als andere partijen die zich later pas conformeren aan die richtlijnen wel op die voordelen willen concurreren.
De auteur doelt met “Nadat deze goedkeuring verkregen was, konden deze bedrijven het niet laten…” op Microsoft neem ik aan? Waarom dat niet gewoon benoemen?
Ah, ja, dat is wel wat irritant. Het doet toch wat vermoeden dat het standpunt gerelateerd is aan zijn werkgever.
Sorry mensen, ik vond het op het moment van schrijven niet “sjiek” om Microsoft te noemen, maar ach, waarom ook eigenlijk niet gewoon concreet benoemen?