Kessels blogt: Data-uitwisseling VS en EU; de duimschroeven aangedraaid

blog IIEerder blogde ik al over een uitspraak van advocaat-generaal Yves Bot in een privacy zaak die is aangespannen door een Oostenrijkse student Schrems tegen Facebook. “Data-uitwisseling VS en EU op losse schroeven”, schreef ik toen. Ik eindigde mijn blog met de vraag in hoeverre het Europese Hof van Justitie de mening van Bot over zou nemen in haar uitspraak in deze zaak. Gisteren heeft het Hof een uitspraak gedaan, die veel stof deed en doet opwaaien. Het Hof heeft namelijk geoordeeld dat de verwerking van persoonsgegevens van Europese burgers door bedrijven in de VS in strijd is met de bescherming van persoonsgegevens, en ook met het recht op bescherming van hun privacy.

Waar ging deze zaak ook alweer over?
Schrems heeft al jaren een Facebook account. Net zoals bij andere gebruikers het geval is, worden zijn persoonsgegevens geheel of gedeeltelijk vanuit de Ierse dochteronderneming van Facebook doorgegeven aan servers die zich in de VS bevinden. Schrems wil dat persoonsgegevens door Facebook niet langer in de VS worden verwerkt. Hij voert als één van de argumenten aan dat de onthullingen van Edward Snowden aantonen, dat er op zulke grote schaal afluisterpraktijken plaatsvinden in de VS, dat persoonsgegevens die op Amerikaanse servers staan, niet veilig zijn.

Safe Harbor
De Europese Richtlijn 95/46/EG zegt dat verwerking van persoonsgegevens buiten de EU mogelijk zijn, mits het betreffende land dan wel een passend beschermingsniveau biedt. Een beschermingsniveau dat in ieder geval gelijk is aan het niveau in de EU. In principe is het beschermingsniveau in de VS niet voldoende. Dat betekent dus dat Europeanen altijd extra voorzichtig en kritisch moeten zijn op het moment dat ze te maken krijgen met een Amerikaans bedrijf.

Om verwerking in de VS toch mogelijk te maken, is het Safe Harbor framework in het leven geroepen. Het idee hierachter is dat als Amerikaanse bedrijven en de Amerikaanse overheid voldoen aan de principes van dit framework, er toch sprake is van een toereikend beschermingsniveau. Facebook is een belangrijk voorbeeld van een bedrijf dat de Safe Harbor principes gebruikt om aan te tonen dat zij voldoen aan het beschermingsniveau. Er is echter veel kritiek op deze principes en het framework. Zo kunnen bedrijven via een zelfevaluatie toetsen of ze voldoen. Dit werpt al jaren vraagtekens op over de garanties die het framework biedt, onder andere door de artikel29-werkgroep, waarin alle nationale toezichthouders in Europa op privacy gebied, zoals het Cbp, zijn vertegenwoordigd.

Beslissing Hof
Het Europese Hof heeft geoordeeld dat de Safe Harbor-beschikking die destijds door de Europese Commissie is uitgegeven, ongeldig is. Hieraan ligt onder andere ten grondslag dat de Amerikaanse overheid persoonsgegevens van Europese burgers kan onderscheppen . Ze kunnen de gegevens verwerken voor een ander doel dan waarvoor ze zijn verkregen, en dat is niet toegestaan op basis van Europese privacy regels. Daarbij is het opmerkelijk dat het Hof zo ver gaat door te zeggen dat de verwerking van persoonsgegevens in het kader van de nationale veiligheid van de VS onevenredig ver gaat en niet nodig is.

En nu? Reacties op de uitspraak
blog IIEdward Snowden heeft Schrems inmiddels via Twitter gefeliciteerd.
Zoals gezegd heeft de uitspraak nu al veel stof doen opwaaien. Er wordt al flink gespeculeerd over de gevolgen die deze uitspraak heeft in de praktijk. Het Hof noemt geen overgangsperiode, wat zou impliceren dat het Safe Harbor-verdrag per direct niet meer geldt. Alle bedrijven in de VS die zeggen dat ze zich houden aan de Safe Harbor-principes, kunnen dus op basis daarvan niet meer aanvoeren dat ze het juiste beschermingsniveau bieden. Dit heeft vooral grote gevolgen voor aanbieders van Cloud diensten die servers gebruiken in de VS.

Minister Van der Steur heeft vandaag een eerste reactie gegeven. Daarin staat: “Nederland maakt zich zorgen over de gevolgen van de ongeldigverklaring voor het bedrijfsleven. De Europese Commissie is nu de eerst in aanmerking komende instelling om een voorziening te treffen.” Hij komt later met een inhoudelijke brief aan de Kamer.

Naar alle verwachting gaat in 2016 de Algemene Verordening Gegevensbescherming in werking. In hoofdstuk V is ook een bepaling opgenomen over doorgifte naar derden landen van persoonsgegevens van Europese burgers. Ook de Verordening biedt de Commissie de ruimte om te beslissen dat een derde land een passend beschermingsniveau heeft.

Er zijn al onderhandelingen gaande tussen de EU en de VS over vernieuwde afspraken over de bescherming van persoonsgegevens. Deze “building bridges”-onderhandelingen staan onder andere op het programma op de Amsterdam Privacy Conference, later deze maand. Hopelijk komen deze onderhandelingen nu in een sneltreinvaart. Niet alleen voor Europese burgers, maar ook voor het bedrijfsleven. Er is in deze kwestie behoefte aan duidelijke afspraken, waarbij de Europese privacy regels zoals we die nu al hebben, als uitgangspunt zullen blijven dienen.

Simone Dirven

Comments are closed.