Privacybescherming in VS onvoldoende – Meer waarborgen voor EU-data vereist

Privacybescherming in VS onvoldoende – Meer waarborgen voor EU-data vereist

Je tikt een bericht op Facebook, verzendt een mail via Gmail of stuurt een tweet uit via Twitter. Of misschien maak je via je werk wel gebruik van Office 365, deel je bestanden via Dropbox of hanteer je crm-toepassingen via Salesforce. In al die gevallen loopt er een stroom gegevens naar Amerikaanse bedrijven en dat was tot vandaag heel vanzelfsprekend, maar nu niet meer.

Om gegevens van Europese burgers te mogen verwerken moet een bedrijf voldoen aan een aantal door de Europese Commissie opgestelde waarborgen. De verwerking moet onder andere noodzakelijk zijn, mag niet langer duren dan nodig en vereist toestemming. Als buitenlandse bedrijven zich aan die regels houden, mogen ze in principe ook de data van EU-burgers ontvangen en voor Amerikaanse bedrijven was die toestemming tot dusver vergemakkelijkt door middel van de Safe Harbour- of Veiligehavenbeginselen.

De Europese Commissie bestempelde de VS in 2000 met beschikking 2000/520/EG als land waarvoor voldoende is gewaarborgd dat gegevens adequaat worden beschermd. Inmiddels staan er meer dan vijfduizend Amerikaanse bedrijven op de lijst van bedrijven die voldoen aan de Safe Harbour-voorwaarden, al is de toestemming in veel gevallen verlopen.

Exit Safe Harbour

Dinsdag heeft het Europese Hof van Justitie echter een streep getrokken door de huidige regels voor toestemming voor gegevensverwerking door Amerikaanse bedrijven, in de zaak Facebook/Schrems. De bedrijven mogen dan wel voldoende bescherming van de gegevens bieden, overheidsinstanties in de VS kunnen er gewoon bij. Het Europese Hof van Justitie wijst daarbij indirect naar de NSA. In de VS is het volgens het Hof nu eenmaal zo dat in het kader van nationale veiligheid en opsporing ‘zonder beperking’ afgeweken kan worden van de Safe Harbour-beschermingsmaatregelen, met inmenging van de grondrechten van Europese burgers. Daarmee heeft de Europese Commissie met zijn beschikking van 2000 geen rekening gehouden en daarom is die per direct ongeldig.

Wat betekent dat in de praktijk?

Het is niet langer toegestaan dat gegevens naar de VS op grond van Safe Harbour doorgegeven worden. Volgens Ot van Daalen, jurist op gebied van digitale rechten bij Project Moore Advocaten, gaat het dan ook om een uitspraak met verstrekkende gevolgen. “Bedrijven zullen op zoek moeten naar alternatieven.” Die alternatieven zijn er volgens hem in de vorm van modelcontracten, die bedrijven als Facebook, Google en Microsoft, maar ook kleinere bedrijven individueel moeten afsluiten met Europese bedrijven.

Volgens Van Daalen zijn Amerikaanse bedrijven daar tot nu toe echter niet happig op. “De onderhandelingen duren lang, de regels zijn strikter dan die van de Safe Harbour – onder andere wat betreft security – en bovendien kunnen toezichthouders ze makkelijk tegenhouden, als die besluiten dat een inbreuk te ver gaat.”

De rol van de toezichthouders is door de huidige uitspraak enorm toegenomen. Burgers kunnen bij hen aankloppen als ze denken dat Amerikaanse bedrijven hun gegevens onvoldoende beschermen en die bezwaren kunnen niet meer weggewuifd worden met een verwijzing naar Safe Harbour. De waakhonden kunnen de gegevensoverdracht daadwerkelijk opschorten.

De individuele contracten zijn volgens Van Daalen voorlopig het beste alternatief voor Amerikaanse bedrijven, totdat de politiek komt met een nieuwe Safe Harbour-regeling, op basis waarvan de privacy wel voldoende is gewaarborgd.

De politiek aan zet

Die nieuwe regeling is al wel in de maak, maar komt veel te laat, vindt D66-Europarlementariër Sophie in ‘t Veld. “Doordat de Commissie al die jaren de kop in het zand heeft gestoken, zitten Europese bedrijven nu in de problemen. De Commissie moet Safe Harbour zo snel mogelijk aanpassen, binnen de uitspraak en de eisen van het Hof”, aldus In ’t Veld. De hervorming van gegevensbeschermingsregels werden al in 2012 aangekondigd, maar de onderhandelingen met de VS lopen nog.
De Europese Commissie verklaart de uitspraak als een bevestiging te zien dat het de goede aanpak hanteert met de ingezette hervormingen. De commissie stelt dat er genoeg andere ‘mechanismen’ zijn om de transatlantische stroom gegevens in stand te houden, daarmee doelend op de modelcontracten. Verder zouden de privacyautoriteiten in de lidstaten richtlijnen krijgen over hoe om te gaan met aanvragen voor gegevensverstrekkingen.
Het CBP laat bij monde van woordvoerster Merel weten het een mooie uitspraak van het Hof te vinden: “Het is een onderstreping van onze bevoegdheden. Hoe we hier mee omgaan, is een internationaal vraagstuk. Deze week komen de Europese toezichthouders bij elkaar om afspraken te maken. We gaan in ieder geval geen gegevensstromen tegenhouden.”
Duidelijk is dat de Europese Commissie bij de onderhandelingen met de VS veel sterkere afspraken moet afdwingen om de privacy van Europese burgers te beschermen, zegt Daphne van der Kroft van digitale-burgerrechtenorganisatie Bits of Freedom.

‘Goede dag voor de privacy’

“Het Europese Hof van Justitie heeft vandaag heel erg duidelijk gemaakt dat privacybescherming niet bij mooie woorden moet blijven, maar ook echt nageleefd moet worden. De Europese Commissie moet hiervoor zorgen. Het is een goede dag voor de privacy”, verklaart Van der Kroft. Volgens haar heeft de uitspraak Facebook ook in een moeilijke positie gebracht. “Feitelijk is gezegd dat zij geen afdoende bescherming kunnen bieden.”
Facebook zelf ziet dat heel anders. “Deze zaak gaat niet over Facebook. De advocaat-generaal van het HvJEU heeft zelf verklaard dat Facebook niks verkeerds heeft gedaan”, laat een woordvoerder weten. “Het is nu zaak dat de overheden van de VS en de EU garanderen dat er betrouwbare methoden blijven voor het rechtmatig versturen van data en dat ze problemen met betrekking tot de nationale veiligheid oplossen.”

De volgende zaak

Aan de basis van het huidige probleem ligt het feit dat je gegevens niet bij datacenters onder Europese hoede, maar bij rekencentra onder Amerikaanse vlag terechtkomen. Amerikaanse geheime diensten mogen zich ook toegang verschaffen tot gegevens in datacenters op Europees grondgebied op basis van de Patriot Act, als ze maar van Amerikaanse bedrijven zijn.
In hoeverre de VS bij in de EU opgeslagen data mag, hangt mede af van de uitkomst van een zaak tussen Microsoft en de Amerikaanse justitie. Amerikaanse rechters oordeelden dat Microsoft e-mails moest overhandigen die in een datacenter in Ierland waren opgeslagen. De opvraging was onderdeel van een strafrechtelijk onderzoek door het Amerikaanse Openbaar Ministerie. Een uitspraak in deze zaak kan nog wel tot februari duren.

Hoe die uitspraak ook uitvalt, de privacy van Europese burgers staat hoger op de agenda dan hij lange tijd heeft gedaan en het is aan de Europese Commissie en de toezichthouders om nieuwe regels voor bescherming op te stellen en te handhaven.

Bron: Tweakers.net

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

© 2016 PSIS B.V.