Sofie van der Meulen: Overdracht persoonsgegevens van EU naar VS blijft onzeker

Blogbijdrage

Binnen de zorg worden met het gebruik van nieuwe technologie, waaronder medische apps, steeds meer data – waaronder persoonsgegevens, verzameld, verwerkt, opgeslagen en gedeeld met diverse partijen. Worden de gegevens opgeslagen in of gedeeld met de VS, dan kan dit nu onrechtmatig zijn en boetes tot gevolg hebben. Waarom?

Op 6 oktober vorig jaar zette het Europese Hof een streep door de Safe Harbor-beschikking van de Europese Commissie. Deze beschikking vormde voor veel bedrijven en organisaties de juridische basis voor overdracht van persoonsgegevens tussen de EU en Safe Harbor-gecertificeerde bedrijven in de VS. Sindsdien zijn overdrachten van persoonsgegevens op grond van het Safe Harbor-regime onrechtmatig.

Naar aanleiding van deze beslissing zijn veel bedrijven en organisaties direct aan de slag gegaan om de overdracht van persoonsgegevens naar de VS zoveel mogelijk in overeenstemming met de wet te krijgen. Veelal door implementatie van de “modelcontractbepalingen” van de Europese Commissie. Het is de vraag of dit alternatief voor Safe Harbor ook door alle autoriteiten geaccepteerd wordt. Vandaar dat de hoop gevestigd is op een nieuw Safe Harbor-regime dat de toets van het Europese Hof van Justitie kan doorstaan.

Dit nieuwe regime zou er volgens de Artikel 29-werkgroep eind januari 2016 moeten zijn. Vorige week klonken er positieve geluiden omtrent een akkoord tijdens een privacycongres in Brussel, maar een officieel persbericht laat nog op zich wachten. Als een akkoord uitblijft, moeten de nationale privacytoezichthouders bepalen hoe zij verder zullen omgaan met de dataoverdracht naar de VS. Op 2 februari 2016 komt de Artikel 29-werkgroep bijeen en ook daar staat Safe Harbor bovenaan de agenda.

Het arrest van het Europese Hof heeft ervoor gezorgd dat de bescherming van gegevens binnen veel bedrijven en organisaties een belangrijk punt van zorg is geworden. Als er geen akkoord komt zullen alle nationale privacytoezichthouders afzonderlijk gaan bepalen hoe er moet worden omgegaan met de overdracht van persoonsgegevens naar de VS. Dit veroorzaakt voor bedrijven en organisaties die via meerdere Europese landen persoonsgegevens naar de VS willen overdragen veel huiswerk; de regelgeving kan dan per land verschillen. Hier komt nog bij dat toezichthouders per direct kunnen optreden tegen onrechtmatige gegevensoverdracht naar de VS. Duitsland kondigde in oktober 2015 al boetes van maximaal EUR 300.000,- aan. Het is te hopen dat er snel een akkoord op tafel ligt waarmee een einde gemaakt kan worden aan de bestaande onzekerheid.

Sofie van der Meulen is advocaat bij Axon advocaten.

Bent u werkzaam in de gezondheidszorg en heeft u een scherpe pen? Dan zij wij op zoek naar u! Kijk hier voor meer informatie.