Office 365 en Safe Harbor
Update 2 februari 2016: er lijkt een overeenkomst te zijn gesloten over de opvolger van Safe Harbor. De komende tijd zullen juristen zich er over buigen. Maar handhaving door de privacy autoriteiten op korte termijn lijkt hiermee van de baan.
Op 6 oktober jl. heeft het Europees Hof de Safe Harbor overeenkomst tussen de EU en de VS ongeldig verklaard. Wat betekent dit voor Office 365?
Voor we beginnen: deze blog is bedoeld om onze klanten en andere afnemers van Office 365 bewust te maken van de situatie omtrent Safe Harbor. Keuzes die worden gemaakt op basis van deze blog zijn voor eigen risico.
Wat is de Safe Harbor overeenkomst?
Binnen de EU gelden strenge regels voor het omgaan met persoonsgegevens. De bescherming van privacy wordt beschouwd als een fundamenteel recht. Bedrijven die persoonsgegevens verwerken moeten er alles aan doen om deze gegevens goed te beschermen. Binnen de EU hebben alle lidstaten hun lokale wetgeving ten aanzien van de bescherming persoonsgegevens op elkaar afgestemd. Hierdoor mogen privacygevoelige gegevens verspreid door de EU worden opgeslagen. Anders is dat bij het opslaan van persoonsgegevens in bijvoorbeeld de VS. Daar gelden minder strenge regels voor bijvoorbeeld het vorderen van gegevens door de overheid. Om het voor Europese organisaties toch mogelijk te maken persoonsgegevens op te slaan in de VS, is 15 jaar geleden een overeenkomst afgesloten tussen de EU en de VS: Safe Harbor. Hierin wordt gesteld dat Amerikaanse organisaties die persoonsgegevens van Europeanen verwerken en/of opslaan zich conformeren aan de strenge Europese regels.
Wat is er met Safe Harbor gebeurd?
De overeenkomst staat al langer onder druk. In april 2014 heeft het Europees Parlement de overeenkomst opgeschort. Microsoft heeft daarop direct een aanvullende overeenkomst gesloten met de Article 29 Working Group (werkgroep van alle commissies bescherming persoonsgegevens van EU lidstaten). 6 Oktober jl. heeft het Europees Hof de hele Safe Harbor overeenkomst onrechtmatig verklaard. Hiermee is het ineens van tafel en kunnen Europese organisaties zich niet meer beroepen op Safe Harbor als zijn persoonsgegevens opslaan in de VS. Daarmee voldoen ze ineens niet meer aan de eigen, lokale wetgeving. Met andere woorden: theoretisch gezien kan het CBP boetes opleggen aan Nederlandse organisaties die deze gegevens nog wel in de VS opslaan. Een probleem dus.
Gevolgen van de uitspraak van het Europees Hof
Zoals gezegd is het vanaf 6 oktober strikt genomen niet meer toegestaan persoonsgegevens op te slaan bij een Amerikaanse partij, dus ook bij Microsoft. Maar gelukkig wordt de soep niet zo heet gegeten. Microsoft heeft als gezegd een aanvullende overeenkomst (een zogenaamde EU Modal Clause) afgesloten met de Article 29 Working Group. De juridische basis onder deze overeenkomst is om dezelfde redenen als Safe Harbor ongeldig verklaard. Microsoft wil zich immers wel aan de EU-regels houden, maar kan dit niet waarmaken als Amerikaans bedrijf. Gelukkig snappen de Europese toezichthouders ook dat er een oplossing gezocht moet worden. Er is daarom een overgangsperiode ingesteld. Deze periode geldt tot januari 2016 voor de EU Modal Clauses. De Working Group heeft de Europese wetgevers opgeroepen snel, dus voor januari, met een oplossing te komen. Inmiddels is er een principe akkoord over opvolger voor Safe Harbor.
Reactie van Microsoft
Het mag duidelijk zijn dat Microsoft geen enkel belang heeft bij de ontstane situatie. Niet voor niets hebben ze in april 2014 als eerste grote cloud provider de overeenkomst met de EU gesloten. Daarnaast verzet Microsoft zich, tot nu toe met succes, tegen opvragingen van de Amerikaanse overheid als het gaat om data die fysiek binnen de EU staat opgeslagen.
De Chief Legal Officer (Brad Smith) heeft direct na het onrechtmatig verklaren van Safe Harbor een statement gepubliceerd. Brad wijst in deze blog op de vele maatregelen die Microsoft heeft genomen om de bescherming van persoonsgegevens te waarborgen. Zowel technisch als juridisch. Feit is uiteraard wel dat Microsoft afhankelijk is van wetgevers, zowel in de EU als in de VS. Hij roept hen dus ook op om snel maatregelen te nemen.
In zijn blog van 20 oktober gaat Brad verder in op dit onderwerp. In dit stuk spreekt Brad minder als jurist en beschouwt hij de situatie wat meer filosofisch. Niet voor niets staat er vet gedrukt en onderstreept “Privacy really is a fundamental human right”. Dit is precies het uitgangspunt waar de Europese wetgeving op gebaseerd is. Inhoudelijk lijkt hij hiermee dus te kiezen voor het Europese standpunt als het gaat om bescherming van persoonsgegevens. Hij zoekt de oplossing voor de situatie duidelijk in het aanpassen van de Amerikaanse wet. Hij geeft tevens aan dat het afdwingen dat data de landsgrenzen niet mogen verlaten geen optie is. Het zou ons terugwerpen naar “de middeleeuwen”. Hij lijkt dus te stellen: Amerika: los het probleem op en Europa: reageer niet met al te draconische maatregelen. Daarbij moeten we ons beseffen dat het combineren van publieke veiligheid en bescherming van privacy een complex vraagstuk is.
En nu?
Ik ben geen jurist en Wortell is een IT-bedrijf. Wat de beste oplossing nu is voor klanten van Microsoft die Office 365 gebruiken is niet zwart-wit te stellen. We raden klanten die persoonsgegevens opslaan in Office 365 zich goed te verdiepen in het onderwerp en de ontwikkelingen in de gaten te houden. Het verstandig daarbij ondersteuning te vragen van een gespecialiseerde jurist. Hun uurtarief is erg hoog, maar de boetes die het College Bescherming Persoonsgegevens op kan leggen, zijn veel hoger.