nieuwsanalyse

Persoonsdata zijn niet meer veilig in VS

Max Schrems, de Oostenrijkse doctoraatsstudent die de data-akkoorden tussen de EU en de VS onderuit heeft gehaald. ©AFP

Duizenden bedrijven zitten in een grijze zone na een arrest van het Europees Hof. Dat vernietigde een 15 jaar oud akkoord over de verwerking van Europese persoonsgegevens in de VS.

Het Europees Hof van Justitie (EHJ) deed gisteren uitspraak in een zaak die de 28-jarige Oostenrijker Max Schrems had aangespannen tegen de sociaalnetwerkreus Facebook. Schrems wilde niet dat Facebook zijn persoonlijke gegevens opslaat op servers in de VS, omdat zijn privacy daar onvoldoende gewaarborgd is. Uit de onthullingen van de Amerikaanse ex-spion Edward Snowden is immers gebleken dat de Amerikaanse inlichtingendiensten zonder veel plichtplegingen alle persoonsgegevens, ook van EU-burgers, kunnen opvragen.

1. Wat zegt het Europees Hof van Justitie precies?

Het Hof oordeelt dat een 15 jaar oud akkoord tussen de EU en de Verenigde Staten, waarop Facebook zich beriep om Europese persoonsgegevens in de VS te bewaren, ongeldig is. De zogenaamde Safe-Harborregeling was een soort certificering dat Europese persoonsgegevens in de VS dezelfde bescherming zouden krijgen als in Europa.

Toen de Europese Commissie dat akkoord in 2000 afsloot, hadden de aanslagen van 9/11 nog niet plaatsgevonden en waren de verregaande Amerikaanse veiligheidswetten nog niet gestemd. Er was toen weinig tot geen discussie over de surveillancepraktijken van de Amerikaanse inlichtingendiensten.

2. Waarom is dit arrest zo zwaarwichtig?

4.400 Amerikaanse bedrijven opereren voortaan in een juridisch niemandsland.

Omdat het niet alleen gevolgen heeft voor Facebook, maar ook voor de ruwweg 4.400 andere Amerikaanse bedrijven die zich beroepen op de Safe-Harborregeling. Het gaat om bekende technologiebedrijven zoals Google, Microsoft en Dropbox, maar ook over bedrijven in tal van andere sectoren. Zij opereren voortaan in een juridisch niemandsland omdat ze geen wettelijke basis hebben om data van Europese burgers in de VS bij te houden. Zij lopen het risico op klachten en rechtszaken.

Een ander probleem is dat de supervisie versnipperd raakt over de nationale Europese toezichthouders, bij gebrek aan een eengemaakte Europese data-autoriteit. Ook kunnen gelijkaardige regelingen die de EU met andere landen heeft afgesloten nu onder vuur komen. Al zou dan geval per geval moeten bekeken worden of het akkoord aan de Europese rechtsprincipes voldoet.

Een neveneffect van het arrest is dat er in de VS geen controle meer wordt uitgeoefend op de verwerking van Europese persoonsgegevens. Het Safe-Harborakkoord hield in dat de Amerikaanse regulator FTC daarop moest toezien, maar die is die bevoegdheid nu kwijt.

3. Wat moeten getroffen bedrijven nu doen?

Heel wat Europese en Amerikaanse bedrijven zullen geconfronteerd worden met een enorme berg papierwerk.

Juridisch advies inwinnen en de adviezen van de overheid opvolgen, is de boodschap. Advocaten raden aan gebruik te maken van modelcontracten en -clausules die door de Europese Commissie zijn opgesteld om de export van persoonsdata toch mogelijk te maken. Een kopie van die overeenkomsten moet ook aan de nationale toezichthouder (in ons land de privacycommissie) worden overgemaakt. Duidelijk is in elk geval dat heel wat bedrijven - ook Europese ondernemingen die data uitwisselen met Amerikaaanse tegenpartijen - geconfronteerd zullen worden met een enorme berg papierwerk.

Tegelijk moeten ze beseffen dat de modelclausules misschien maar een voorlopige oplossing zijn. Verschillende experts denken immers dat ook die clausules de privacytoets van het EHJ niet zouden overleven.

4. Moeten consumenten zich ook zorgen maken?

Iedereen die online actief is, maakt wel gebruik van clouddiensten van bedrijven als Google of Facebook. Mogelijk zullen die bedrijven proberen u een nieuw contract te laten tekenen waarin u de toestemming geeft om uw gegevens in de Verenigde Staten op te slaan. Wie daar ja op zegt, moet beseffen dat hij afziet van de Europese data- en privacybescherming.

5. Komt er een regeling die wel zekerheid biedt?

De Europese Commissie onderhandelt al enige tijd met de Ameri-kaanse regering over een opvolger van Safe Harbor. Het arrest zet extra tijdsdruk op die gesprekken. Op korte termijn is het vooral uitkijken naar het standpunt dat de nationale toezichthouders zullen innemen. Zij plegen daarover morgen overleg. De Belgische privacycommissie liet al weten dat ze volgende week donderdag met een advies zal komen.

Partner bij advocatenkantoor CMS DeBacker

Was u verrast door het arrest van het EHJ?
‘Het is een heel typisch arrest, in de zin dat het Europees Hof het manifest van de Europese grondrechten naar de letter heeft toegepast. Puur juridisch is dat te verdedigen, maar het is jammer dat men geen rekening houdt met de praktische gevolgen. Het versterkt de kritiek dat het gaat om rechtspraak vanuit een ivoren toren.’

Welke gevolgen heeft het arrest voor providers van clouddiensten?
‘Voor cloudplatformen als Salesforce of Workday, die ook door veel Europese bedrijven worden gebruikt, was Safe Harbor een uitstekend model. Bedrijven die met dergelijke diensten werken, zullen alle contracten moeten uitpluizen en contact opnemen met de cloudprovider in kwestie. In principe kan men aan elke werknemer de toestemming vragen om zijn data in de VS te verwerken, maar dat is onbegonnen werk voor grote bedrijven, en het brengt weer andere risico’s met zich mee.’

Zullen consumenten nu overspoeld worden met nieuwe privacyclausules?
‘Veel aanbieders van online- diensten vroegen de toestemming sowieso al niet. Dit arrest geeft hen wel duidelijk de boodschap dat Europa meer transparantie en duidelijkheid eist over de manier waarop ze met onze data omgaan.’

Lees verder

Advertentie
Advertentie

Gesponsorde inhoud