NieuwsAmerikaans-Europese Privacy Shieldverdrag

EU-hof tikt Commissie op de vingers: gegevens Europeanen in Amerika niet veilig

De wet beschermt gegevens in Europa beter dan in de VS gebeurt. Data van Europeanen mogen dus niet zomaar in Amerika worden opgeslagen. Maar ook het akkoord tussen de EU en de VS dat dit regelt, biedt te weinig zekerheid, zegt de Europese rechter nu. Een uitspraak met grote gevolgen.

De 32-jarige Max Schrems, advocaat en privacy-activist, diende in 2013 een klacht in tegen Facebook bij de Ierse Autoriteit Persoonsgegevens. Beeld AFP
De 32-jarige Max Schrems, advocaat en privacy-activist, diende in 2013 een klacht in tegen Facebook bij de Ierse Autoriteit Persoonsgegevens.Beeld AFP

Techbedrijven als Facebook en Google mogen gegevens van hun Europese gebruikers niet meer zomaar doorsturen naar de VS. Daar geniet de privacy van Europeanen onvoldoende bescherming. Dat heeft het Europees Hof van Justitie donderdag besloten in een zeven jaar durende zaak van een Oostenrijkse activist tegen Facebook.

Het hof stelt dat het Amerikaans-Europese verdrag Privacy Shield, waaronder data-uitwisseling tussen beide partijen plaats vindt, niet voldoet aan de Europese regels voor databescherming. Amerikaanse veiligheidsdiensten kunnen ongehinderd grasduinen in de gegevens van buitenlandse gebruikers op Amerikaanse servers. Het hof stelt verder dat modelcontracten tussen data-exporteurs en buitenlandse verwerkers wel zijn toegestaan, mits bescherming van de gegevens is gewaarborgd.

Klokkenluider

‘Ik ben heel blij met deze uitspraak’, zegt de 32-jarige Max Schrems. De Weense advocaat en privacy-activist diende in 2013 een klacht in tegen Facebook bij de Ierse Autoriteit Persoonsgegevens (het Europees hoofdkwartier van Facebook staat in Dublin). Schrems reageerde daarmee op onthullingen door klokkenluider Edward Snowden over de werkwijze van de Amerikaanse inlichtingendienst, en stelde dat zijn gegevens niet veilig waren in de VS. Uiteindelijk geeft het Europees Hof hem dus gelijk. Schrems op zijn eigen website: ‘De Verenigde Staten zullen de wetgeving voor hun inlichtingendiensten moeten aanpassen, willen Amerikaanse bedrijven nog een serieuze rol willen spelen in Europa.’

University College London berekende onlangs dat 5.300 Europese bedrijven gebruikmaken van het Privacy Shieldverdrag. Niet alleen techbedrijven, maar ook Aldi en Louis Vuitton. De handel in digitale diensten tussen Europa en de VS had in 2016 een omvang van zo’n 260 miljard dollar per jaar. De onderzoekers waarschuwen dat kleine- en middelgrote dataverwerkingsbedrijven (65 procent van het totaal) minder middelen hebben om voor iedere Amerikaanse partner een door de EU goedgekeurd modelcontract op te stellen dat voldoende bescherming garandeert. De Autoriteit Persoonsgegevens van ieder EU-land moet toezicht houden op de kwaliteit van deze contracten.

Geen boodschap

‘Als Europees burger ben ik heel blij met deze uitspraak’, zegt emeritus hoogleraar Jan Smits (recht en techniek, TU Eindhoven). De Europese Commissie heeft volgens hem een flink probleem. ‘Die moet nu onderhandelen met de Verenigde Staten over verbetering van onze mensenrechten. Maar daar heeft dat land geen enkele boodschap aan.’ De Amerikaanse inlichtingendiensten mogen volgens Smits alle gegevens opvragen bij Amerikaanse bedrijven, waar die data zich ook bevinden. ‘Hun Cloud Act is echt doodeng.’ Smits verwacht dat de spanning tussen Europa en de VS flink gaat oplopen. De consument zal op korte termijn weinig merken van de uitspraak, denkt Smits. ‘Google en Instagram blijven gewoon bestaan.’

Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens is ‘niet heel verbaasd’ dat de Europese Commissie op de vingers is getikt. ‘De European Data Protection Board, waar wij ook lid van zijn, bezocht vorig jaar de VS voor een evaluatie. Toen bleek bijvoorbeeld dat hun ombudsman geen onafhankelijke rechter was, maar een ambtenaar op een ministerie.’ De Board stuurde volgens Wolfsen een kritisch rapport naar de Europese Commissie. Opnieuw onderhandelen met de VS is volgens hem de enige optie. ‘Ons hele leven digitaliseert, we moeten die gegevens goed beschermen. Dat lukt inmiddels binnen Europa, maar nog niet bij grensoverschrijdend dataverkeer.’

Nu het Europees Hof van Justitie zo duidelijk heeft gesteld dat de privacy in de VS tekortschiet, zullen waarschijnlijk meer belangenorganisaties en kritische burgers een klacht indienen. Dat verwacht onderzoeker recht en ict Bart Schellekens van de Raad voor de Rechtspraak, die op persoonlijke titel reageert. ‘Max Schrems heeft de weg voorbereid met een sterke organisatie en lange adem.’ Het dataverkeer kan doorgaan, stelt Schellekens, als modelcontracten worden aangepast of een beter verdrag wordt ontwikkeld. ‘De bal ligt bij de Europese Commissie.’

Meer over