Datatransfer naar VS wordt voor Vlaamse kmo mijnenveld

Privacyactivist Max Schrems haalt deels zijn slag thuis. ©AFP

Het Europees Hof van Justitie maakte donderdag elke datatransfer naar de VS een pak moeilijker. Een zelfregulerend kader verdween in de vuilbak, over modelcontracten hangt een pak onzekerheid.

De Oostenrijkste privacyactivist Max Schrems maakte het leven van bedrijven die gegevens uitwisselen met de VS flink zuurder. Het Europese Hof van Justitie gaf hem donderdag deels gelijk in een jarenlange juridische strijd tegen Facebook, een bedrijf waarvan hij betwist dat het zijn data niet zomaar naar de VS mag sassen. De uitspraak van het Hof was eigenlijk niet aan Facebook gebonden, maar ging over twee methoden die bedrijven gebruiken om data uit te wisselen tussen de Europese Unie en de Verenigde Staten.

De eerste, het zelfregulerende 'privacy shield', verwees het Europese Hof van Justitie naar de vuilbak. Het is niet de eerste keer dat Schrems erin slaagt om een data-akkoord tussen de Europese Unie en de Verenigde Staten ongeldig te laten verklaren. Ook in 2015 liet hij door het Europese Hof van Justitie voorganger Safe Harbour al naar de geschiedenisboeken verdwijnen. De twee wereldblokken moesten toen in allerijl een nieuw kader uit de grond stampen.

'Het privacy shield is de facto een zelfregulerend kader op zijn Amerikaans, waarin bedrijven vrijwillig regels kunnen aannemen', zo legt Linklaters-partner Guillaume Couneson uit. Europa erkende destijds dat als bedrijven zich naar het Privacy Shield-kader schikken Europese bedrijven er zonder extra vereisten data mee mogen uitwisselen. Een Commissie-beslissing uit 2016 gaf aan dat het Privacy Shield eigelijk een evenwaardige bescherming garandeerde aan data dan in Europa zelf.

'Grote multinationals hebben de juridische vuurkracht om dit tegen het licht te houden, maar voor de Vlaamse kmo is dit een stevig vraagstuk.
Guillaume Couneson
partner bij Linklaters

Het Europees Hof van Justitie is het daar niet mee eens, en meer bepaald door de macht van de inlichtingendiensten in de VS. 'Als het gaat over bepaalde surveillanceprogramma's zijn er geen indicaties dat er beperkingen zijn op de macht van die programma's, of dat er enige waarborgen zijn voor mogelijk getroffen personen van buiten de Verenigde Staten.' Veel bedrijven, waaronder tal van grote spelers zoals Facebook en Microsoft, leunen op het Privacy Shield en zullen nu meer op zoek moeten naar alternatieven.

Hun heil ligt mogelijk in de tweede datadeelmethode die wel overeind blijft, de 'standard contractual clauses' (SCC). Dat zijn een soort van modelcontracten tussen twee bedrijven die goedgekeurd zijn door de Europese Unie. Wereldwijd maken honderdduizenden bedrijven er gebruik van, en ze zijn ook cruciaal om dataverkeer buiten de EU gaande te houden. Maar ook die zijn niet meer zaligmakend, oordeelde heet Hof. 'De contracten in kwestie zijn nu nog te veel clausules die al te gemakkelijk snel ergens aan toegevoegd worden', legt Couneson uit.

Volgens het Hof moeten de datatransfers de lokale regulatoren de datatransfers die geregeld worden via zulke contracten effectief kunnen opschorten of verbieden als er niet voldoende bescherming is voor de data. Dat klinkt alsof de bevoegdheid bij de regulatoren ligt, en veel blikken gaan dan ook die richting uit, stelt Couneson. 'Grote multinationals hebben de juridische vuurkracht om dit tegen het licht te houden, maar voor de Vlaamse kmo is dit een stevig vraagstuk. Zij kijken bovendien nu naar de regulator, maar eigenlijk zegt het arrest dat ze zelf in staat moeten zijn om de evaluatie te maken.'

Lees verder

Advertentie
Advertentie

Gesponsorde inhoud