Safe Harbour en internationaal verkeer SURF seminar ontwikkelingen op het gebied van privacy, 23 november 2015
mr. drs. W.H. van Holst
1
Onafhankelijk IT-advies combinatie van technische, bedrijfskundige en juridische expertise
Kenmerken Sinds 1991 Beëdigd informaticadeskundigen Best practices Professioneel netwerk Huisleverancier Vestigingen in Gouda & Enschede
Kernwaarden Professioneel Pragmatisch Objectief Ambitieus Betrokken Betrouwbaar
2
Onze diensten Strategie Voorstudies Beleid
Regie (Out)sourcing Contractmanagement Inkoop
Vernieuwing Programma van eisen Pakket- en partnerselectie Europese aanbesteding Implementatiebegeleiding
Contractering Contracten en SLA’s Onderhandeling Geschillen
Beoordeling Audits Taxaties Deskundigenberichten
Tevens Second opinions Projectbegeleiding Workshops 3
Opleidingen en workshops Inkoop Europees aanbesteden Inkopen van ICT Implementatiemanagement
Tevens Software as a Service | SaaS) IT-Services Procurement Library | ISPL) Open Source Software | OSS)
Contractering Service Level Agreements (SLA’s) ICT-contracten Onderhandelen over ICT-contracten
Contractmanagement Contractmanagement voor ICT Vendormanagement Outsourcing 4
Onze topics
Software as a Service | SaaS consumerisation
geschilmanagement
Shared Service Centers | SSC
intellectueel eigendom
outsourcing
privacy
open source software | OSS cloud eHRM Service Level Agreements | SLA
kostenbesparing & business case
Europese aanbesteding due diligence
regie 5
Programma • • • • • •
Inleiding/kennismaking Geschiedenis Safe Harbour Context Verenigde Staten Zaak Schrems Impact Conclusies & vragen
6
Inleiding/kennismaking
7
Geschiedenis Safe Harbour Europese Richtlijn 95/46 verbiedt verwerking in “derde landen” (tenzij adequaatheidsbeslissing), art. 25 Verenigde Staten komt niet in aanmerking voor adequaatheidsbeslissing Safe Harbour Besluit van 2000 Executive Agreement, géén verdrag 8
Wat is er veranderd? 11 september 2001 Verdrag van Lissabon Handvest van Grondrechten van de Europese Unie Edward Snowden
9
Context Verenigde Staten (1/2) Grondwettelijke verankering van privacy vooral in huiselijke sfeer Geen generiek wettelijk kader op Federaal niveau Wel sectoraal (HIPAA) In sommige staten wel generieke wetgeving
10
Context Verenigde Staten (2/2) Geen concept van proportionaliteit als in art. 8 EVRM of art. 8 Handvest Geen onafhankelijk toezicht Geen aansprak op 4e Amendement voor niet-ingezetenen buiten grondgebied VS (2nd Circuit, Terrorist Bombings of U.S. Embassies in East Africa) Anderen: Clapper vs Amnesty International Dublin jurisprudentie 11
Zaak Schrems (1/3) Max Schrems dient klacht in bij Ierse DPC vanwege PRISM DPC wijst klacht af: Safe Harbour exclusieve competentie EC Schrems gaat in beroep Irish High Court
12
Zaak Schrems (2/3) Irish High Court stelt prejudiciële vragen in het licht van DRI/Ierland (68) In the second place, it should be added that that directive does not require the data in question to be retained within the European Union, with the result that it cannot be held that the control, explicitly required by Article 8(3) of the Charter, by an independent authority of compliance with the requirements of protection and security, as referred to in the two previous paragraphs, is fully ensured. Such a control, carried out on the basis of EU law, is an essential component of the protection of individuals with regard to the processing of personal data
13
Zaak Schrems (3/3) HvJ gaat niet in op inhoudelijke merites van Safe Harbour (98) “Consequently, without there being any need to examine the content of the safe harbour principles, it is to be concluded that Article 1 of Decision 2000/520 fails to comply with the requirements laid down in Article 25(6) of Directive 95/46, read in the light of the Charter, and that it is accordingly invalid.”
“essentiële equivalentie” 14
Impact Formeel geen invloed op geldigheid Standaardclausules Europese Commissie Formeel geen invloed op BCR Art. 29 WG heeft aangekondigd niet voor 1 februari te gaan handhaven Safe Harbour 2.0 was al in onderhandeling, onderhandelingen verliepen moeizaam 15
Standpunten toezichthouders Collectief standpunt van 15 oktober jl. CBP is muisstil CIO is expliciet van mening dat Standaardclausules gewoon kunnen en dat er geen reden tot migreren is Duitse toezichthouder van Sleeswijk-Holstein is van mening dat Standaardclausules niet meer adequaat zijn Duitse toezichthouders collectief vinden van wel, maar gaan geen nieuwe BCRs toestaan 16
Wat moet ik nu doen? In kaart brengen welke verwerkingen geraakt worden Zo spoedig mogelijk Modelclausules overeenkomen met bewerkers buiten EER Serieus onderzoeken of verhuizen naar locatie binnen EER geen optie is
17
Praktijkvragen Academisch ziekenhuis heeft samenwerking met Amerikaanse onderzoeksgroep waarbij klinische data wordt gedeeld Programma wordt geleid door een Duitse onderzoeksgroep Routeren van intra-Europees internetverkeer buiten Europa om Onderwijsinstelling op Google Desktop of Office365
18
Vragen? Per e-mail:
[email protected]
Overige informatie Nieuwsbrief: Internet:
[email protected] www.mitopics.nl
19