Vandaag twee weken geleden verklaarde het Europese Hof van Justitie het Safe Harbor Verdrag tussen de EU en de VS ongeldig. Veel organisaties en bedrijven gebruikten dit verdrag als basis voor de overdracht van gegevens tussen de EU en (vestigingen in) de VS. We begrijpen goed dat deze uitspraak veel vragen oproept.

Voor Microsoft zijn de privacy en veiligheid van de gegevens van onze gebruikers onze belangrijkste prioriteit. Als gebruikers technologie niet vertrouwen, zullen ze daar ook niet optimaal gebruik van maken. Om dat vertrouwen te versterken maakte Microsoft bovenop het Safe Harbor Verdrag daarom al langer gebruik van aanvullende technische en juridische maatregelen voor de bescherming van gebruikersgegevens bij uitwisseling tussen de EU en andere regio’s – waaronder de VS. De belangrijkste waarborg daarbij is onze standaard toepassing van de EU Model Clausules in contracten met onze zakelijke cloudklanten, waarmee de basis voor gegevensuitwisseling conform EU wet- en regelgeving wordt gefaciliteerd.

In reactie op de Safe Harbor uitspraak van het Europese Hof heeft de Artikel 29 Werkgroep – de koepel van Europese privacy waakhonden waaronder het College Bescherming Persoonsgegevens – vorige week aangegeven dat deze EU Model Clausules voorlopig voldoende juridische bescherming blijven bieden voor rechtmatige uitwisseling van gegevens tussen de EU en VS. Daarmee kunnen onze klanten dus nog steeds vertrouwen op de door Microsoft getroffen juridische waarborgen.

De Artikel 29 Werkgroep heeft eveneens aangegeven dat Safe Harbor wel spoedig zal moeten worden vervangen door een nieuw, robuust raamwerk van afspraken tussen de EU en VS om gegevensuitwisseling op termijn veilig en met respect voor individuele rechten te laten plaatsvinden.

Een toekomstbestending raamwerk
Vandaag zet Microsoft’s President & Chief Legal Officer Brad Smith in een uitgebreide blog de visie van Microsoft uiteen over hoe een dergelijk raamwerk er uit zou moeten zien. Want, zoals hij schrijft: “Juridische regels opgesteld toen de personal computer net was uitgevonden zijn simpelweg niet meer geschikt in een tijdperk waarin vele mobiele apparaten met de cloud zijn verbonden.”

Samengevat doet Smith vier aanbevelingen voor toekomstbestendige afspraken:

  1. Het is van groot belang dat als gegevens tussen de EU en VS bewegen, dat de rechten van de eigenaren van die gegevens meebewegen. Kort gezegd: mocht de Amerikaanse overheid toegang willen tot de gegevens van een Europeaan die in de VS staan opgeslagen, dan moeten die gegevens worden opgevraagd conform relevante EU privacy wetgeving.
  2.  

  3. Als overheden in de EU of VS gegevens van elkaars burgers die over de Atlantische Oceaan bewegen willen inzien, dan kan een verzoek daartoe alleen worden gedaan bij de autoriteiten van het land waar de eigenaar van die gegevens vandaan komt.
  4.  

  5. Een uitzondering daarop zou alleen moeten worden gemaakt voor burgers die zich fysiek tussen de VS en de EU bewegen. Zo zouden bijvoorbeeld Europese landen bij het opvragen van data van Amerikanen die zich in de EU bevinden zich op de Europese wetgeving en rechtsgang moeten kunnen baseren.
  6.  

  7. Overheden aan beide kanten van de Atlantische Oceaan moeten duidelijk afspreken dat ze de inhoud van gegevens enkel en alleen opvragen via de dienst waar die gegevens staan opgeslagen, óók als die in de cloud staan. Dat is essentieel voor het vertrouwen van bedrijven in de cloud. Aleen in zeer uitzonderlijke gevallen zou hiervan afgeweken mogen worden.

 

In een tijd waarin de digitale uitwisseling van gegevens zo’n belangrijke plaats heeft ingenomen in ons dagelijks leven zijn deze maatregelen hard nodig. Het onoverzichtelijke landschap van wetten en regels waar overheden en bedrijven nu mee te maken hebben vraagt om heldere regels. Ze bieden een stevig fundament gebaseerd op de privacy rechten van individuele gebruikers, maar geven overheden tegelijkertijd ook handvaten om gegevens op te vragen wanneer dat onoverkomelijk is voor het beschermen van de veiligheid in onze samenlevingen. En die balans is cruciaal voor het ten volle kunnen benutten van de vele kansen die technologie de maatschappij en economie te bieden heeft.


Wilt u meer weten over de juridische aspecten van de cloud? Schrijf u dan in voor een webinar op 26 november waarin advocaat Thomas van Essen van advocatenkantoor SOLV en National Technology Officer Hans Bos van Microsoft dieper op dit onderwerp ingaan.