Uitlegparty: de Safe Harbor-zaak, jouw gegevens niet meer naar de VS?
Het EU-hof zet een streep door de Safe Harbor-afspraak over data van EU-burgers op servers in de VS. Wat zijn de gevolgen?
Het vonnis van het Europese Hof van Justitie, die stelt dat de privacy van Europeanen onvoldoende beschermd is onder Amerikaanse wetgeving, roept allerlei vragen op. De Oostenrijkse actievoerder die de zaak had aangespannen spreekt van 'een mijlpaal voor online privacy'. Hij noemt het een grote klap voor de Amerikaanse inlichtingendiensten die voor hun afluisterpraktijken 'zwaar leunden op commerciële partijen'. De gevolgen van het vonnis worden de komende maanden duidelijk.
Voorlopig verandert er nog niet veel. Volgens de Europese Commissie kan het dataverkeer tussen de EU en de VS vooralsnog doorgaan, via andere constructies in de wetgeving (waarover hieronder meer). De EU en de VS onderhandelen al twee jaar over nieuwe afspraken over het verwerken van gegevens van EU-burgers in de VS. Dit vonnis kan ook impact op die gesprekken hebben.
Wat is Safe Harbor?
Amerikaanse bedrijven verwerken privégegevens van Europese klanten momenteel via de zogeheten Safe Harbor-afspraak. Deze afspraak is in het jaar 2000 gemaakt tussen de EU en VS om Amerikaanse bedrijven in staat te stellen persoonsgegevens te verwerken zonder de Europese wetgeving te schenden.
Die wetgeving verbiedt in principe het verwerken van gegevens in landen waar de dataprotectie-standaard lager is dan in de EU, zoals in de VS. Met Safe Harbor wordt er een uitzondering gemaakt voor Amerikaanse bedrijven, zolang zij voldoen aan de Europese regelgeving voor het beschermen van persoonsgegevens.
Waarom spreekt het Europees Hof zich over deze kwestie uit?
Oostenrijker Max Schrems sleepte in 2014 Facebook voor de rechter. Schrems is van mening dat de onthullingen door Snowden over de afluisterpraktijken van de Amerikaanse geheime dienst NSA aantonen dat gegevens van Europese Facebook-gebruikers op Amerikaanse servers niet veilig zijn. De rechtszaak tussen Schrems en Facebook is door het Hooggerechtshof in Ierland, waar Facebooks Europese hoofdkantoor staat, doorverwezen naar het Europees Hof.
Wat voor invloed heeft de uitspraak op bedrijven?
Als Safe Harbor ongeldig wordt verklaard, moeten bedrijven als Google en Facebook meer gaan leunen op hun Europese operaties. Als gegevens van EU-burgers ook echt op servers binnen de Europese Unie moeten staan, vergt dat allerlei aanpassingen. Grote internetbedrijven slaan gegevens momenteel op in datacenters op allerlei locaties wereldwijd. "We zijn bezorgd over de mogelijke verstoring van de internationale gegevensstromen als het Europees Hof het advies van de advocaat-generaal volgt", aldus John Higgins van de Europese handelsorganisatie Digital Europe tegenover The New York Times.
Ook Daniel Castro, vice-president van de toonaangevende Amerikaanse denktank Information Technology and Innovation Foundation (ITIF), is bang voor de gevolgen: "In de digitale economie is het van essentieel belang dat er een vrije stroom van informatie is om de wereldwijde handel op gang te houden. Maar het is wel belangrijk dat de VS en EU samen werken aan belangrijke privacyhervormingen." Als voorbeeld noemt Castro de mogelijkheid voor Europeanen om civiele acties te ondernemen tegen de VS.
Via welke constructie kan het dataverkeer tussen EU en VS toch doorgaan?
Nu Safe Harbor ongeldig is verklaard, kunnen bedrijven ook gebruikmaken van zogeheten Binding Corporate Rules (BCR). Ot van Daalen, digitale-rechtenadvocaat bij Project Moore Advocaten, legt uit: "Een BCR is een afspraak tussen een internationaal bedrijf en de nationale toezichthouder. Het is aannemelijk dat grote bedrijven als Google, Facebook en Amazon dergelijke afspraken gaan maken om de risico's op het overtreden van de regels zo veel mogelijk te beperken."
"Mogelijk wordt er een soort overgangsperiode ingesteld. Zo kunnen bedrijven zich aanpassen op de nieuwe situatie of BCR's sluiten met de nationale toezichthouders. Het is aannemelijk dat de toezichthouders pragmatisch met deze situatie omgaan, en de bedrijven ook de tijd geven om hun werkwijze aan te passen."
Volgens Axel Arnbak, privacyonderzoeker aan de Universiteit van Amsterdam, is het niet vreemd dat Amerikaanse bedrijven zich aan de nationale regels moeten houden: "Als een bedrijf in een land een tankstation wil bouwen, moet je ook aan allerlei landelijke en zelfs regionale regels voldoen. Waarom zou dat voor internetbedrijven anders zijn?"
Wat zijn de gevolgen voor consumenten?
Omdat privacytoezichthouder College Bescherming Persoonsgegevens (CBP) hoogstwaarschijnlijk meer bevoegdheden krijgt, heeft de Nederlandse burger een directer lijntje om beklag te doen over vermeende privacyschendende praktijken van internationaal bedrijven. Daarnaast kan het CBP steviger optreden tegen bedrijven die zich niet houden aan de Nederlandse regelgeving.
Het voorkomen van het doorsturen van gegevens naar Amerikaanse servers gebeurt echter alleen wanneer dit volgens het CBP noodzakelijk is. Het CBP kan deze situatie per bedrijf bekijken en beoordelen. Arnbak vindt het versterken van de bevoegdheden van de nationale toezichthouder veel belangrijker dan het opslaan van data op Europese servers. "Het klinkt op papier heel logisch om data van Europese burgers op Europese servers op te slaan, maar door de praktijken van data-spionage zoals geopenbaard door Snowden zal dat verkeerd uitpakken."
Wat is het mogelijke gevaar?
Arnbak: "Als de uitspraak van het Europees Hof voor een betere bescherming van de privacy van Europese burgers tegen Amerikaanse spionage moet zorgen, zijn die data mogelijk veiliger als ze in de VS zijn opgeslagen. In de VS gelden verschillende weten die het mogelijk maken dat de NSA alles mag doen in het buitenland, van aftappen tot hacken, zolang de verwachting is dat er geen gegevens van Amerikaanse burgers worden buitgemaakt."
Als Europese gegevens op een Amerikaanse server staan, is die verwachting minder vanzelfsprekend en mag de NSA niet zomaar op een server inbreken. Arnbak: "Het zou heel bizar zijn dat het Europees Hof besluit dat Europese gegevens in de EU moeten worden bewaard, maar daarmee de NSA juist de volledige toegang biedt tot onze gegevens."
Lees ook: