3 maanden tijd om uit ‘safe harbor’ weg te roeien
Bedrijven hebben nog tot eind januari de tijd om data die nu onder de ‘safe harbor’-regeling in de VS verkeren als nog in veiligheid te brengen.
Dat hebben de Europese privacy-toezichthouder afgelopen vrijdag vanuit Brussel, waar ze vergaderden, laten weten. Eerder werd aangenomen dat de deadline op 1 januari zou liggen. De ‘safe harbor’-constructie stelde Europese bedrijven in staat om persoonsgebonden gegevens op te slaan op servers die zich in VS bevinden, waar ze niet de wettelijke bescherming genieten die ze op grond van EU-regelgeving wel behoren te krijgen. De angst is dat Amerikaanse inlichtingendiensten te makkelijk bij informatie van Europese burgers kunnen komen als de data in de VS opgeslagen zijn.
Door recente uitspraken van het Europees Hof is deze constructie, die vooral van belang is voor bedrijven die gebruik maken van een public cloudinfrastructuur, onhoudbaar geworden. Meer dan 4.400 bedrijven in de EU gebruiken de safe harbor-constructie. Ze staan nu voor een fors probleem om ofwel technisch ofwel juridisch tot een oplossing te komen die de Europese privacytoezichthouder tevreden kan stellen.
Bilateraal overleg
Die oplossing hoeft echter niet noodzakelijkerwijze van henzelf te komen, want de verklaring die de toezichthouders uitgaven maakt gewag van de mogelijkheid dat de EU en de VS in gezamenlijk overleg zullen komen tot een oplossing. Maar zolang die er niet is, hangt de kwestie als een zwaard van damocles boven informatieverantwoordelijken bij de betreffende bedrijven.
Een mogelijke oplossing voor de betreffende bedrijven zou kunnen zijn het regelen van specifieke bedrijfsgebonden toestemming van de toezichthouder, een zogeheten binding corporate rule. Maar die vergt als regel gedetailleerde onderbouwing en wordt vooralsnog dan ook door nog geen honderd bedrijven in de EU bewandeld. Uitwijken naar andere landen buiten de EU zal als regel ook weinig soelaas bieden, omdat ook dan onduidelijk is in hoeverre de daar dan geldende privacy-mores wel de goedkeuring van de Europese regelgevers weg kan dragen.
Bron: Automatiseringgids
Fout opgemerkt of meer nieuws? Meld het hier