Deadline nieuwe Safe Harbour-regeling verstrijkt zonder akkoord

Onderhandelaars van de EU en de VS hadden tot eind januari de tijd om een akkoord te bereiken over nieuwe regels, die de ongeldig verklaarde Safe-Harbour-regeling moeten vervangen. Het overlegorgaan van de Europese privacytoezichthouders vergadert dinsdag over de gevolgen.

De afgelopen dagen leken onderhandelaars nog optimistisch over het bereiken van een akkoord, zo meldde Reuters. De deadline van 31 januari is echter verstreken, zonder dat een nieuwe regeling is overeengekomen. Onderhandelaars van de EU en de VS hadden drie maanden de tijd om een vervanger voor de Safe Harbour-regeling te vinden, die in oktober ongeldig werd verklaard door het Europese Hof van Justitie. De gevolgen van het verstrijken van de deadline zijn nog niet duidelijk, daarover heeft het overlegorgaan van de Europese privacytoezichthouders, de Artikel 29-werkgroep, dinsdag een overleg gepland.

Een mogelijk gevolg kan zijn dat de regelingen, waar organisaties op dit moment het exporteren van persoonsgegevens op baseren, niet meer gebruikt mogen worden. Details over een mogelijk akkoord waren de laatste tijd beperkt tot informatie over het feit dat de VS een privacy-ombudsman had voorgesteld, die klachten van Europeanen over de datacollectie door de VS zou gaan behandelen. Ook was een Amerikaanse wet uitgesteld, die Europeanen gelijke rechten als Amerikanen zou bieden onder de daar geldende privacywet. Het ontbreken van een juridisch kader voor het exporteren van persoonsgegevens kan grote gevolgen hebben voor Amerikaanse bedrijven.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 01-02-2016 10:08 41

01-02-2016 • 10:08

41

Lees meer

Microsoft spreekt steun uit voor Privacy Shield-overeenkomst
Microsoft spreekt steun uit voor Privacy Shield-overeenkomst Nieuws van 11 april 2016
Privacytoezichthouders stemmen mogelijk niet in met Privacy Shield-overeenkomst
Privacytoezichthouders stemmen mogelijk niet in met Privacy Shield-overeenkomst Nieuws van 8 april 2016
'Bedrijven die oude Safe Harbour-regeling gebruiken, overtreden de wet'
'Bedrijven die oude Safe Harbour-regeling gebruiken, overtreden de wet' Nieuws van 3 februari 2016
Europa en VS sluiten 'EU US Privacy Shield'-overeenkomst - update
Europa en VS sluiten 'EU US Privacy Shield'-overeenkomst - update Nieuws van 2 februari 2016
'VS doet voorstel voor privacy-ombudsman in Safe Harbour-onderhandelingen'
'VS doet voorstel voor privacy-ombudsman in Safe Harbour-onderhandelingen' Nieuws van 22 januari 2016
VS stelt wet voor gelijke privacyrechten EU-burgers uit
VS stelt wet voor gelijke privacyrechten EU-burgers uit Nieuws van 21 januari 2016
EC wil binnen drie maanden nieuw akkoord met VS over data-export
EC wil binnen drie maanden nieuw akkoord met VS over data-export Nieuws van 6 november 2015
EU-Hof acht VS geen veilige 'datahaven'
EU-Hof acht VS geen veilige 'datahaven' Nieuws van 6 oktober 2015
Meer producten en artikelen
Privacy Politiek en recht

Reacties (41)

-Moderatie-faq
41
35
32
5
0
1
Wijzig sortering
WienerBlut 1 februari 2016 10:24
Een paar praktische vragen:
  • Mag ik nu nog wel gevoelige persoonsgegevens nog wel opslaan in Office 365 of Amazon Web Services met gebruik in de EU?
  • Mag ik mijn personeel deze diensten nog wel laten gebruiken voor werkdata (en gevoelige persoonsgegevens)?
  • Mag ik dit nog wel als service provider resellen?
Met Safe Harbour mocht dit wel, maar nu dus niet meer? Ik weet het niet. Ik lees vrij veel ruis over dit onderwerp, maar ik heb nog geen jurist gehoord die echt keihard zei 'ja dit mag' of 'nee dit mag niet' of 'nee, je zal moeten wachten tot er een nieuwe regeling is'.
rvanson @WienerBlut1 februari 2016 10:39
  • Nee
  • Nee
  • Uiteraard, jij bent niet verantwoordelijk voor de data die jouw klant opslaat.
Zie deze blog voor wat meer achtergrond. Geen juridisch verhaal, maar meer praktisch gericht op afnemers van Amerikaanse clouddiensten (In dit geval Office 365, maar het geldt net zo goed voor AWS, Google Apps for Work etc).
Verwijderd @rvanson1 februari 2016 11:15
  • Nee
  • Nee
  • Uiteraard, jij bent niet verantwoordelijk voor de data die jouw klant opslaat.
Zie deze blog voor wat meer achtergrond. Geen juridisch verhaal, maar meer praktisch gericht op afnemers van Amerikaanse clouddiensten (In dit geval Office 365, maar het geldt net zo goed voor AWS, Google Apps for Work etc).
Je bent volgens mij wel verantwoordelijk voor de diensten die je door verkoopt (reselled).
Je zult het waarschijnlijk wel mogen door verkopen maar je zult moeten aangeven waar de data opgeslagen wordt etc.
lhuizing @WienerBlut1 februari 2016 10:42
De kern van de juridische problemen rond Safe Harbor ligt hem in de export van persoonsgegevens naar de VS. Zolang je kunt garanderen dat er geen persoonsgegevens worden geexporteerd naar de VS, heb je dus vooralsnog geen probleem. De kans lijkt groot dat alternatieven voor Safe Harbor - Standard Contract Clauses en Binding Corporate Rules aan dezelfde mankementen leiden als Safe Harbor, dus daarop kun je binnenkort waarschijnlijk ook niet meer vertrouwen - de komende dagen zullen de nationale databeschermingsautoriteiten daarover vergaderen - wat wel of niet van belang kan zijn, want iedere nationale waakhond mag zelf beslissen wat ze gaan handhaven en wat niet, maar de uitspraken hebben wel invloed in de hele EU.

Vandaag zal er nog worden dooronderhandeld. De echte deadline - en zelfs die is tamelijk zacht - is vanavond, als Eurocommissaris Jourová het Europees Parlement toespreekt. Morgen begint dan de vergadering van de DPAs en gaat het feest pas echt beginnen.

Overigens ben ik er persoonlijk van overtuigd dat het eigenlijk nauwelijks uitmaakt of er een akkoord komt of niet. Zolang het PRISM-programma kan bestaan op basis van de Amerikaanse wet zal iedere nieuwe Safe Harbor opnieuw sneuvelen bij het Europese Hof.
Verwijderd @WienerBlut1 februari 2016 10:28
Ga je huiswerk doen als Reseller ? Bel MS!
WienerBlut @Verwijderd1 februari 2016 10:30
Resellen mag altijd, maar mag de eindgebruiker er nog wel alles mee doen? En in hoeverre zit je goed bij AWS?
hterhofte @WienerBlut1 februari 2016 11:33
Als je als eindgebruiker een dienst afneemt bij een provider die zijn gegevens verwerkt bij AWS in een EU region (EU Frankfurt of EU Ireland) èn die een 'AWS Data Processing Addendum' heeft afgesloten met AWS, dan voldoet alles wel aan de EU privacy richtlijn 95/46/EG, aldus Amazon en de Luxemburgse National Commission for Data Protection, die namens de Europese nationale privacy-waakhonden (de Article 29 Working Party) de AWS Data Processing Addendum heeft goedgekeurd.

In het privacy-statement van de desbetreffende dienst zou je dat moeten kunnen vinden.

Wij hebben het als dienstleverancier van Drebbl (automatische piloot die je thermostaat aanstuurt op basis van geleerde mobiliteitspatronen) begin dit jaar al geregeld. Was even een werkje, maar is toch wel het minste dat je voor je klanten kunt doen.
[edit: kleine typos]

[Reactie gewijzigd door hterhofte op 24 juli 2024 08:50]

Cerberus_tm @hterhofte3 februari 2016 18:31
Toch vraag ik me af wat het Amerikaanse hoofdkantoor van Amazon doet als de NSA aanklopt en zegt dat ze gegevens uit een Europees datacentrum willen hebben. Mag Amazon dan nee zeggen? Ik neem aan dat de Europese afdeling in principe moet doen wat het hoofdkantoor zegt?
Verwijderd @Verwijderd1 februari 2016 11:10
Geen enkele vraag is lame... als het voor hem beetje onduidelijk is, laat hem zijn vraag stellen.
eheijnen @WienerBlut1 februari 2016 11:29
De klant heeft de plicht zicht te informeren....
De verkopende partij heeft de plicht de klant te informeren....

Aangezien je ondernemer bent zou ik privacy niet als een obstakel zien maar juist als een "selling point". Zeker in deze tijden.
H!GHGuY @WienerBlut1 februari 2016 12:24
En nog straffer, vanaf vandaag mogen Amerikaanse werkgevers Europese personeelsgegevens niet meer in de VS behandelen. Tijd om e-mails naar de HR-afdeling te sturen...
CAPSLOCK2000
@WienerBlut1 februari 2016 13:28
Een paar praktische vragen:
  • Mag ik dit nog wel als service provider resellen?
Je mag het wel verkopen maar niemand mag het inkopen. Europese bedrijven die iets met persoonsgegevens doen moeten zich aan de relevante wetten houden. Dat betekent dat ze moeten eisen dat hun leveranciers zich ook aan die wetten houden. Als jij dat niet doet dan zal niemand meer van jou willen kopen.

Overigens mag je in theorie ook rechtstreeks zelf afspraken met Amerikaanse bedrijven om aan de wet te voldoen. In praktijk botsen de Europese en Amerikaanse regels echter zo dat het onmogelijk is om echt zo'n afspraken te maken. Althans, zo denk ik er over, juristen van sommige bedrijven zeggen dat ze wel een oplossing hebben maar dat geloof ik niet zo in.

De olifant in de kamer is dat de geheime diensten zich toch niks aantrekken van dit soort afspraken en verdragen. Dit soort wetten zijn alleen voor de gewone man. Het is prima dat ze er zijn want ze houden een hoop problemen tegen maar ze zijn niet sluitend.
Als het écht veilig moet zijn, in tegenstelling tot dat alleen de juridische verantwoordelijkheid is afgedekt, dan kun je niet vertrouwen op contracten.

[Reactie gewijzigd door CAPSLOCK2000 op 24 juli 2024 08:50]

metalmania_666 1 februari 2016 10:14
Tja en nu....

Ik hoop dat Europa de rug recht houdt.
Het is tijd dat Amerika flink wat water bij de wijn doet en ook echt rekening gaat houden met de Europese privacy richtlijnen
F_J_K Forummoderator @metalmania_6661 februari 2016 10:29
En nu zijn er heel wat organisaties die ondertussen hun lopende contracten met dienstverleners met Amerikaanse tak eigenlijk hadden moeten stopzetten. Gebruikt je bedrijf Azure of Amazon, je school Outlook.com, je voetbalvereniging Google Apps? Met persoonsgegevens? Ietwat gechargeerd gezegd: per direct voor veel geld het contract afkopen (als je bij contractafsluiten hebt geslapen), data verwijderen en op zoek naar een andere partij. Dan maar een maandje geen e-mail, VoIP of web-applicatie ;)

... wat dus ook niet realistisch is.

Desalniettemin ben ik blij dat er niet te makkelijk "gewonnen" wordt gegeven.

Vergeet overigens niet dat ook binnen Europa - en in de rest van de wereld - allerhande wetten zijn of komen voor het opvragen door overheden van informatie. Ik vermoed dat een EUR overheid ook informatie van bijvoorbeeld mensen uit Saudi-Arabie wil opvragen. Wat in de basis niet veel anders is dan dat Washington info over een Nederlander opvraagt.

Tot zover de basis van het internet: vrij verkeer van informatie.
Whatson @F_J_K1 februari 2016 10:42
Je kunt bij Azure of Amazon al kiezen of je data in de EU moet worden gehost. Outlook.com (office 365 that is) voor EDU wordt ook gewoon in Europa gehost.

En vooral Microsoft houdt de rug recht wat betreft dataverzoeken vanuit de VS.

[Reactie gewijzigd door Whatson op 24 juli 2024 08:50]

Blokker_1999
@Whatson1 februari 2016 10:52
Hangt van het dataverzoek af. Op dit moment is er inderdaad een leuke zaak waarbij zij weigeren om data af te leveren, maar dat gaat om een verzoek van de FBI in een gewone zaak. Indien de NSA aan de deur komt kloppen met een verzoek onder regelgeving van de Patriot Act dan moet MS deze data gewoon afleveren en mogen ze daar niet eens tegen in beroep gaan. Ze mogen ook niemand inlichten dat ze die data hebben afgegeven.
Verwijderd @Blokker_19991 februari 2016 11:13
Bij het inlichten ervan wordt het gezien als het gegeven van Staatsgeheimen en wordt je voor de geheime rechtbank gesleept.
Blokker_1999
@metalmania_6661 februari 2016 10:45
En dan? Dan staat men daar te zwaaien met wat andere wetten zoals de Patriot Act en moeten de grote bedrijven alsnog de data afgeven en moeten ze er ook nog eens over zwijgen omdat het om staatsveiligheid gaat.

Zelfs met een wetgeving in de VS die de data van Europeanen gelijkstelt aan de data van Amerikanen op gebied van privacy zullen wij altijd minderwaardig behandeld worden daar er andere regels zijn die voorgaan.
eheijnen @Blokker_19991 februari 2016 11:17
Zelfs met een wetgeving in de VS die de data van Europeanen gelijkstelt aan de data van Amerikanen op gebied van privacy zullen wij altijd minderwaardig behandeld worden daar er andere regels zijn die voorgaan.
Wat daar eigenlijk staat, IMO, is dat op het moment dat de data van EU burgers en bedrijven de EU verlaat deze onder Amerikaansrecht gehandeld zullen worden. Recht waarop, nadat zo'n verdrag in werking treed, de EU geen vat meer heeft. Vraag me af of Safe Harbour onder Europees-recht wel juridisch legaal is.

Edit: typo
Maurits van Baerle 1 februari 2016 10:21
Ik vermoed dat redelijk wat van de bedrijven die hier door geraakt worden er niet zullen hebben vertrouwd dat dit allemaal wel goed komt. Een beetje bedrijf kijkt vooruit en anticipeert op dit soort juridische risico's, zeker de grote jongens als Google en Facebook die hierdoor waarschijnlijk flink onder vuur zouden kunnen komen te liggen.

Praktisch betekent het dat ze er voor zullen hebben gezorgd dat de data van EU burgers op Europese servers wordt opgeslagen. De complexiteit zal liggen in het verwerken van de data. Als een Amerikaanse adverteerder wil adverteren gebaseerd op voorkeuren van Europese gebruikers zal er toch ergens datauitwisseling moeten plaatsvinden.

[Reactie gewijzigd door Maurits van Baerle op 24 juli 2024 08:50]

Blokker_1999
@Maurits van Baerle1 februari 2016 10:48
Probleem is dat die bedrijven zelf gevangen zitten tussen 2 vuren op dit moment. Langs de ene kant heb je de EU die nu zegt: alle data moet binnen Europa blijven en mag de EU niet verlaten. Aan de andere kant heb je dus Amerikaanse bedrijven die onder Amerikaanse wetgeving vallen en die wetgeving stelt dat opsporingsdiensten binnen de VS het recht hebben die data op te vragen ook al staat deze data buiten de VS op een server.

Microsoft was hiervoor bezig met het opzetten van een nieuwe Azure dienst waarbij de uitbating zou gebeuren door een duitse firma. Hierdoor stond de data niet meer bij MS zelf en was de data dus veilig voor opvraging vanuit Amerika. Ik weet alleen niet hoe ver MS hier mee staat.
Whatson @Blokker_19991 februari 2016 10:52
Die Duitse firma is Deutsche Telekom oftewel T.
https://www.telekom.com/media/company/293260
https://news.microsoft.com/europe/2015/11/11/45283/
Pyronick 1 februari 2016 10:39
Tijd voor protectionistische maatregelen dus. Ik zou zeggen, laat de EC maar met een plan komen waarmee ze met een paar miljard de Europese cloud- en IT business stimuleren.

De VS weet toch dat we afhankelijk zijn van hun IT industrie. Water bij de wijn aan de andere kant van de Atlantische Oceaan gaat dus echt niet gebeuren.
Blokker_1999
@Pyronick1 februari 2016 10:50
En dan, dan stimuleer je met europees geld bedrijven en van zodra die wat groter worden staat een MS, Google, FB, Apple, ... op de deur te kloppen en met wat miljarden te zwaaien om ze over te nemen. En dankzij onze vrije markt kan je dat niet eens verhinderen.
supersnathan94
@Blokker_19991 februari 2016 12:01
Zolang deze bedrijven daarna niet worden gesloten (wat vrij dom zou zijn) is een overname door een van die drie grootmachten toch helemaal niet erg?
JdeVries2012 @Blokker_19991 februari 2016 15:22
De EU zou dat dan kunnen verhinderen op basis van de afwezigheid van een data uitwisselingsverdrag.
Omdat VS bedrijven namelijk altijd verplicht zijn om data te overhandigen indien daarom wordt gevraagd ongeacht de locatie van het bedrijf, ze staan namelijk geregistreerd in de VS. Dat mag nu niet meer en kunnen ze in theorie dus ook niet de bedrijven hier in europa weer over nemen. Dan zou je namelijjk weer hetzelfde probleem krijgen.
Goldwing1973 1 februari 2016 13:14
Dus ik mag dropbox nu niet meer gebruiken om mijn facturen in op te slaan?
Pim_t @Goldwing19731 februari 2016 14:41
Ligt een beetje aan de factuur. Je mag vast je eigen gegevens wel daar neerzetten, maar niet gegevens van anderen.
Goldwing1973 @Pim_t1 februari 2016 14:54
Het zijn facturen van mij naar klanten, dus de NAW van mijn klanten staan erop.
hackerhater @Goldwing19731 februari 2016 16:02
Strict gezien : nee.
Framoes 1 februari 2016 10:19
Details over een mogelijk akkoord waren de laatste tijd beperkt tot informatie over het feit dat de VS een privacy-ombudsman had voorgesteld, die klachten van Europeanen over de datacollectie door de VS zou gaan behandelen. Ook was een Amerikaanse wet uitgesteld, die Europeanen gelijke rechten als Amerikanen zou bieden onder de daar geldende privacywet.
1. Onderhandelingen over (een gebrek aan) privacyafspraken worden geheim gehouden. Zij willen tenslotte wel privacy.

2. Stel je voor dat wij dezelfde rechten als Amerikanen krijgen. Wij Europeanen zijn toch gewoon een stel terroristen?
locke960 @Framoes1 februari 2016 14:42
2. Stel je voor dat wij dezelfde rechten als Amerikanen krijgen. Wij Europeanen zijn toch gewoon een stel terroristen?
Op het moment hebben niet-Amerikanen minder rechten dan Amerikanen, maar zelfs gelijke rechten is niet goed genoeg. Dan vallen we onder dezelfde wetten als alle Amerikanen (Patriot Act, enz) en dat betekent nog steeds dat een vreemde overheid toegang heeft tot onze gegevens zonder dat wij, dwz. onze overheid, daar iets over te zeggen heeft.
In feite verandert daar niet zoveel mee en het zou de huidige situatie alleen maar legaliseren.
Framoes @locke9601 februari 2016 15:18
Het is nu zo dat de CIA de sleepnetmethode niet op Amerikanen mag gebruiken, maar wel op mensen van buiten de VS. Daar was een tijdje terug nog onrust over, tot Obama zei dat data verzamelen dmv sleepnetmethode alleen voor niet-Amerikanen geld. Toen was het ineens oke.

Kortom: er zitten zowel voor- als nadelen aan die rechtsgelijkheid.

[Reactie gewijzigd door Framoes op 24 juli 2024 08:50]

flessuh 1 februari 2016 10:29
Zouden de meeste grote bedrijven niet al de voorkeur hebben dat data van Europeanen in Europa wordt opgeslagen? Betekent toch snellere toegang voor de klant.
eheijnen 1 februari 2016 10:36
De door de VS. georganiseerde "uitverkoop" van rechten en gegevens van EU. burgers en bedrijven middels Safe Harbour, TPP, TTIP, CISA, etc. kan gewoonweg niet door de beugel. Als een verdrag als TTIP wordt geratificeert dan vraag ik me af wat er, bv., op termijn nog van klimaatverdragen terecht moet komen

Voorwat betreft Safe Habour: als de Amerikaanse Big-data boeren graag EU. gegevens willen verzamelen kunnen ze dat middels bedrijven in de EU. doen. Daarmee vallen ze onder EU. recht en belastingplicht.

De geheimhouding omtrent al deze onderhandelingen doet de EU. geen goed en maakt haar democratischgehalte alleen maar ongeloofwaardiger.

Edit: typo

[Reactie gewijzigd door eheijnen op 24 juli 2024 08:50]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq