Gegevensverkeer in de Cloud: mogen mijn persoonsgegevens worden opgeslagen in landen buiten Europa?

Femke Vanden Buverie
Persbericht

Persoonsgegevens op wolkjes

Persoonsgegevens op wolkjes

“We want technology to advance, but timeless values should endure. And privacy is a timeless value that deserves to endure.” – Microsoft CEO S. Vadella[1]

Bovenstaande quote over de waarde van privacy legt een duidelijke link met de onderzoeksvraag van deze scriptie: Gegevensverkeer in de Cloud: mogen mijn persoonsgegevens worden opgeslagen in landen buiten Europa?

Wat is de Cloud?

De academische titel kan op eenvoudige wijze vertaald worden naar ons dagdagelijks leven. Cloudservices worden zowel in het professionele, als privé leven steeds vaker geïntegreerd. Denk maar aan uw Gmail account of uw Dropbox waar de gegevens niet meer traditioneel op een aanwijsbare server zijn opgeslagen, maar een plaats krijgen ergens ‘in de Cloud’.

De Cloudopslag kan aanzien worden als een synoniem voor online opslag op servers over gans de wereld. Deze werkwijze heeft tal van voordelen voor de gebruiker. Onder andere de ruime beschikbaarheid van de gegevens is een grote troef. De opgeslagen gegevens kunnen namelijk altijd en overal geraadpleegd worden. Enkel een internetverbinding is een noodzakelijkheid. Een ander groot voordeel voor bedrijven is de geboekte efficiëntie-winst doordat verschillende gebruikers tegelijk aan dezelfde gegevens kunnen werken.

Doorgifte van persoonsgegevens

De focus van deze scriptie ligt voornamelijk op de opslag en doorgifte van persoonsgegevens naar derde landen door het gebruik van Cloudservices. Persoonsgegevens zijn gegevens die tot de identificatie van een natuurlijk persoon kunnen leiden. Informatie waarover u aldus graag de macht behoudt.

Maar…

Heeft u er al eens bij stil gestaan waar uw persoonsgegevens die u ‘in de Cloud’ plaatst exact worden opgeslagen? Kunnen uw persoonsgegevens zomaar worden ingezien door (buitenlandse) autoriteiten? Zijn er waarborgen met betrekking tot uw privacy? Kunnen uw persoonsgegevens zomaar worden opgeslagen in de Verenigde Staten, waar een minder verregaand beschermingsniveau geldt dan binnen de Europese Unie?

Op al deze vragen wordt in deze scriptie, vanuit een juridisch uitgangspunt, een antwoord geboden. De recente ontwikkeling van Cloudservices heeft ertoe geleid dat deze materie gereguleerd moest worden. Recht volgt namelijk de ontwikkelingen van de maatschappij (en loopt daardoor soms wat achterop).

Binnen de grenzen van de Europese Unie

De Europese wetgever heeft door middel van de dataprotectierichtlijn 95/46/EG de verschillende nationale wetgevende initiatieven van de lidstaten omtrent privacy en persoonsgegevens in het verleden geharmoniseerd. Recent was deze richtlijn aan vernieuwing toe en  dit jaar werd een nieuwe Europese privacy verordening gestemd. Deze evolutie geeft aan dat privacy en persoonsgegevens ‘hot topic’ zijn.

Recht op verbetering en verwijdering van uw persoonsgegevens, recht op vergetelheid, en  beperkingen voor de autoriteiten tot toezicht van persoonsgegevens worden strikt gereguleerd in deze verordening.

Doorgifte van persoonsgegevens binnen de Europese Unie is over het algemeen probleemloos, aangezien in alle lidstaten een gelijkaardig beschermingsniveau geldt. Indien u bijvoorbeeld een reis boekt in België, dan kunnen uw persoonsgegevens op eenvoudige wijze en zonder schending van uw privacy worden doorgegeven naar de Spaanse luchtvaartmaatschappij.

Buiten de grenzen van de Europese Unie

Doorgifte van Europese persoonsgegevens buiten de Europese Unie heeft echter een ander juridisch statuut, aangezien er steeds een gelijkaardig beschermingsniveau moet kunnen worden geboden door de ontvangende staat. In mijn scriptie werd de klemtoon gelegd op de doorgifte van persoonsgegeven naar de Verenigde Staten, aangezien deze regeling dit jaar een nieuwe wending kreeg.

Het verleden heeft reeds aangetoond dat de VS minder streng omspringt met privacy van persoonsgegevens. Onder andere het PRISM afluisterschandaal en de SNOWDEN onthullingen duidden erop dat de Amerikaanse autoriteiten buiten de wettelijke grenzen handelden en hierbij de wettelijke basis voor doorgifte (Safe Harbor verordening) overtraden. Het Europees Hof van Justitie oordeelde dan ook eind 2015 dat Safe Harbor geen gelijkwaardige bescherming als het Europees wetgevend kader biedt, waardoor deze nietig werd verklaard. Al snel ontstond de nood om dit wettelijk hiaat op te vullen.

Na maanden van onderhandelingen (en rechtsonzekerheid), werd begin 2016 een nieuwe wettelijke basis onder de vorm van de ‘Privacy Shield’ door de Europese Commissie bekend gemaakt. Ten opzichte van Safe Harbor is deze regulering een stap vooruit. Onder andere een onafhankelijke ombudsman zal instaan voor klachten in verband met de privacy van Europese burgers. Dit zorgt er voor dat de rechtsingang aanzienlijk wordt vergemakkelijkt.

Al snel kwamen echter enkele knelpunten in deze voorlopige versie aan het licht. Vooral de eventuele mogelijkheid op toezicht van persoonsgegevens door de Amerikaanse autoriteiten blijft een hekel punt. Ook de inconsistentie van de tekst zorgt voor een minder sterke rechtszekerheid. 

Dit toont aan dat het ontwikkelen van wetgevende initiatieven een opdracht van lange adem is. De definitieve versie van Privacy Shield werd begin juli 2016 uiteindelijk bekend gemaakt. Deze versie werd nog niet in mijn scriptie verwerkt, aangezien deze bekendmaking na de deadline van indiening lag. Over het algemeen werden er geen grote aanpassingen gedaan ten aanzien van de voorlopige versie. Ook heeft dit niet tot gevolg dat mijn scriptie meteen gedateerd zou zijn. De evolutie en totstandkoming van regulering rond privacy en persoonsgegevens blijven van essentieel belang om een duidelijk beeld te hebben van de huidige wettelijke toestand.

Verder blijft er sterke kritiek luiden vanuit verschillende hoeken. Het is aldus niet onmogelijk dat ook de Privacy Shield onder het vizier komt van het Europees Hof van Justitie. 

Met z’n allen in de Cloud

Dat recht een evoluerend begrip is, loopt als een rode draad doorheen mijn scriptie. Dit maakt de studie van het recht dan ook uiterst boeiend.

Het onderwerp van mijn bachelorproef mag op het eerste zicht dan wel een ‘ver-van-mijn-bed-show’ lijken, toch heeft regulering omtrent persoonsgegevens en Cloudservices een grote impact op ieder van ons. Een ruimere bewustwording van dit thema is dan ook een doelstelling die ik door deelname aan de scriptieprijs graag wil bereiken. Tenslotte heeft iedereen wel al een plaatsje bemachtigd ‘in de Cloud’.

 

[1] B. Smith, “The collapse of the US-EU safe harbour solving the new privacy rubiks cube”, 20 oktober 2015, http://blogs.microsoft.com/on-the-issues/2015/10/20/the-collapse-of-the… (geconsulteerd op 10 april 2016).

Bibliografie

Wetgeving

INTERNATIONALE NORMEN

Presidential Policy Directive 28.

Foreign Intelligence Surveillance Act.

Uniting and strengthening America by providing appropriate tools required to intercept and obstruct terrorism (USA Patriot Act), 2001

Judicial Redress Act of 2015, Public Law 24 februari 2016.

Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen ter zake van de geautomatiseerde verwerking van persoonsgegevens, Intern. Legal Mater., 1981, 317.

Artikel 6, tweede lid verdrag van Lissabon van 13 december 2001, Pb.L. 17 december 2007, C306.

Artikel 6(1) Dataprotectierichtlijn.

Artikel 29 Dataprotectierichtlijn.

Besch. Comm. van 26 juli 2000 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende vaak gestelde vragen, die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd, PB. L 215/7 25 augustus 2000, 7-47

Besch. Comm. 2001/497/EG, 15 juni 2001 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegeven naar derde landen krachtens Richtlijn 95/46/EG, Pb.L 4 juli 2001, 181; zoals aangevuld door Besch. Comm. 2004/5271/EG , 27 december 2004 tot wijziging van Beschikking 2001/497/EG betreffende de invoering van alternatieve modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen, Pb.L 29 december 2004, 74.

OESO, Guidelines Governing the Protection of Privacy and Transborder Data Flows of Personal Data, OESO, 1980, http://www.oecd.org/sti/ieconomy/2013-oecd-privacy-guidelines.pdf (geconsulteerd op 3 maart 2016).

Groep 29, Working Document relating to the Transfers of personal data to third countries: Applying Article 26 (2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers, 3 juni 2003, http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/2003_e… (geconsulteerd op 19 maart 2016).

 

Groep 29, Working Document of 14/4/2005 Establishing a Model Checklist Application for Approval of Binding Corporate Rules, http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/2005_e… (geconsulteerd op 19 maart 2016).

 

Groep 29, Recommendation 1/2007 of 14/4/2005 on the Standard Application for Approval of Binding Corporate Rules for the Transfer of Personal Data, 10 januari 2007, https://www.privacycommission.be/sites/privacycommission/files/document….

Groep 29, Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules, 24 juni 2008, http://ec.europa.eu/justice/data-protection/article-29/documentation/op… (geconsulteerd op 19 maart 2016).

NATIONALE NORMEN

Artikel 22 Gw.

Artikel 23ev. Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 18 maart 1993 (verder Wet Verwerking Persoonsgegevens).

Artikel 1, § 2 Wet Verwerking Persoonsgegevens.

Artikel 9, § 1 Wet Verwerking Persoonsgegevens.

Artikel 9, § 2 Wet Verwerking Persoonsgegevens.

Artikel 10 Wet Verwerking Persoonsgegevens.

Artikel 12, eerste lid Wet Verwerking Persoonsgegevens.

Artikel 12, tweede lid Wet Verwerking Persoonsgegevens.

Artikel 21 § 1 Wet Verwerking Persoonsgegevens

Artikel 22, 1° Wet Verwerking Persoonsgegevens

Artikel 22, § 1, in fine Wet Verwerking Persoonsgegevens.

Wet van 11 december 1998, BS 3 februari 1999.

Artikel 8 Protocolakkoord betreffende contractuele bepalingen 25 juli 2013.

Artikel 10 Protocolakkoord betreffende contractuele bepalingen 25 juli 2013.

Memorie van Toelichting bij het wetsontwerp tot omzetting van de richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, Parl.St. Kamer 1997-98, nr. 1566/1, 12.

Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies nr 40/2014 van 30 april 2014 van de Privacycommissie met betrekking tot de Binding Corporate Rules voor de internationale overdracht van persoonsgegevens door de onderneming Linklaters https://www.privacycommission.be/nl/search/site/binding%20corporate%20r… (geconsulteerd op 19 maart 2016).

Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies nr 32/2015 van 22 juli 2015 https://www.privacycommission.be/sites/privacycommission/files/document… (geconsulteerd op 4 april 2016).

 

Rechtsleer

Schram, F., Verwerking van persoonsgegevens, Brussel, Politeia, 2013, 158 p.

Dumortier, J., Graux, H. en F. Debusseré, ICT-recht, Leuven, Acco, 2013, 367 p.

Engelfriet, A., van Bergen, M. en Overing, I, Cloud – Deskundig en praktisch juridisch advies, Eindhoven, Ius Mentis, 2012, 103 p.

Valgaeren, E. en Costermans, S., Grenzeloze advocatuur: obstakels worden uitdagingen, 2012, Brugge, Die Keure, 234 p.

De Bot, D., Verwerking van persoonsgegevens, 2001, Antwerpen, Kluwer, 403 p.

Carrera S. en Guild E., “The end of Safe Harbor: What future for EU-US data transfer?”, Maastricht Journal of European and Comparative Law 2015, nr. 5, 651.

Danon, S., “EU-US Privacy Shield… the devil is in the details”, 4 februari 2016, Knack, http://datanews.knack.be/ict/nieuws/eu-us-privacy-shield-the-devil-is-i… (geconsulteerd op 15 april 2016).

De Hert P. en Schreurs W., “De bescherming van persoonsgegevens op het internet: nuttige verduidelijking door de rechtspraak”, AM 2004/2, 127-137.

Dobbelaere-Welvaert, M., “Waarom uw privacy nu veiliger is”, 7 oktober 2015, http://deredactie.be/cm/vrtnieuws/opinieblog/opinie/1.2462812 (geconsulteerd op 10 maart 2016).

Dobbelaere-Welvaert, M., “Het EU-VS Privacyschild. Meer dan een mooi logo?”, 3 maart 2016, Knack, http://datanews.knack.be/ict/nieuws/het-eu-vs-privacyschild-meer-dan-ee… (geconsulteerd op 10 maart 2016).

Docquir, B., “Cloud computing of “virtuele informatica”: gegevensbescherming staat centraal in de contractuele relatie”, Cah. Jur. 4/2011, 105-117.

Gilbert, D., “Safe Harbor 2.0: Max Schrems calls ‘Privacy Shield’ national security loopholes ‘lipstick on a pig’”, 29 februari 2016, http://www.ibtimes.com/safe-harbor-20-max-schrems-calls-privacy-shield-… (geconsulteerd op 1 maart 2016).

Neoline/ GK, “The European Union (EU) and the United States (US) reached an agreement on the EU-US data protection Umbrella agreement”, 9 september 2015, https://neurope.eu/article/eu-citizens-will-have-the-right-to-sue-us-in… (geconsulteerd op 10 april 2016).

Sagaert V. en Scheers D., “VS niet langer een veilige haven voor uw persoonsgegevens”, RW 5 december 2015, nr. 14, 522.

Schoefs, R., “Doorsturen van persoonsgegevens naar VS in het gedrang”, DeJuristenkrant 2015, nr. 315, 3.

Schoefs, R., “Witte rook voor nieuwe privacyverordening”, Juristenkrant, nr. 321, 2016, 16.

Smith, B., “The collapse of the US-EU safe harbour solving the new privacy rubiks cube”, 20 oktober 2015, http://blogs.microsoft.com/on-the-issues/2015/10/20/the-collapse-of-the… (geconsulteerd op 10 april 2016).

Verplancke p., “De Europese Commissie keurt nieuwe standaardclausules voor de doorgifte van persoonsgegevens naar derde landen goed”, R.D.C 2005/5, 558-561.

Y., “Hoe veilig zijn onze gegevens in de cloud?”, 4 januari 2016, http://www.synergics.be/blog/beveiliging-van-gegevens-safe-harbor (geconsulteerd op 4 april 2016).

X, “More German regulators oppose model clauses for EU-US data transfers”, 15 oktober 2015, http://www.out-law.com/en/articles/2015/october/more-german-regulators-… (geconsulteerd op 7 maart 2016).

Rechtspraak

EHRM 6 september 1978, Klass and others/Germany, § 56.

HvJ 6 november 2001, C101/01, Bodil Lindqvist/Koninkrijk Zweden.

HvJ 6 oktober 2015, nr. C-362/14, Maximillian Schrems/Data Protection Commissioner.

Arbitragehof 21 december 2004, nr. 202/2004.

Universiteit of Hogeschool
Bedrijfsmanagement - rechtspraktijk
Publicatiejaar
2016
Promotor(en)
Mevrouw Remerie
Kernwoorden
Share this on: