Tinker, Tailor, Soldier, Schrems

Voor degenen die aanwezig waren bij de Big Brother Awards 2015 was het een lichte teleurstelling. Hoewel was aangekondigd dat hij er in persoon zou zijn moest het publiek genoegen nemen met een geprojecteerde Schrems, die via Skype werd geïnterviewd.

De teleurstelling werd enigszins verzacht door het besef dat Max Schrems slechts een gewone student was. Een gewone student die een gigantisch effect heeft gehad op de privacy en het dataverkeer in Europa door een combinatie van doorzettingsvermogen en toeval.

Uitreiking Big Brother Awards, Amsterdam, October 28th, 2015

Uitreiking Big Brother Awards, Amsterdam, October 28th, 2015

De feiten
Het begon op 25 juni 2013 toen Max een klacht indiende bij de autoriteit voor databescherming van Ierland. Hij was het niet eens met het feit dat Facebook zijn gegevens verstuurde naar Amerika. Schrems diende zijn klacht in Ierland in omdat in dat land het Europese kantoor van Facebook is gevestigd. De timing van de jonge Oostenrijker zal te maken hebben gehad met het feit dat Edward Snowden drie weken ervoor documenten van de NSA had gelekt. Het PRISM-programma dat daarmee de in publiciteit kwam, maakte het voor de veiligheidsdienst mogelijk om via bedrijven als Facebook, Google en Apple de persoonsgegevens van miljoenen gebruikers te achterhalen. Daaronder bevonden zich uiteraard ook genoeg Europeanen.

De Ierse autoriteit voor databescherming weigerde de klacht van Schrems te behandelen. Zij verwees naar een beslissing van de Europese Commissie, de zogenaamde ‘safe harbour decision’. Daarin had de Commissie uitgemaakt dat het met de bescherming van Europese persoonsgegevens in Amerika uitstekend was gesteld en dat de lidstaten met die verklaring maar genoegen moesten nemen. Tot die beslissing was zij gekomen na een overeenkomst met de Amerikaanse overheid.

Het is verwonderlijk dat de tekst van die overeenkomst nog niet het onderwerp geweest is van een aflevering van “Zondag met Lubach”. De privacy van Europese burgers werd namelijk beschermd door een ingenieus systeem genaamd “zelfregulering”. Het werkt als volgt. Eerst verklaren de Amerikaanse bedrijven plechtig dat ze zich aan de Europese regels zullen houden. Daarna publiceren ze eens per jaar een rapport waarin ze zichzelf beoordelen. Dit rapport gaat dan naar de Amerikaanse autoriteit die vaststelt dat ze zich inderdaad erg goed aan de Europese regels houden. De Amerikaanse overheid is zelf niet gebonden aan de ‘safe harbour agreement’. Bij dit hele proces zijn knipogen en gekruiste vingers achter de rug optioneel.

De uitkomst
Het Hof van Justitie heeft in de Schrems-zaak met dit twijfelachtige systeem korte metten gemaakt. Het Hof constateerde dat de overeenkomst “niet heeft vermeld dat de Verenigde Staten daadwerkelijk op grond van hun nationale wetgeving of hun internationale verbintenissen „waarborgen bieden” voor een passend beschermingsniveau.“  en de beslissing van de Commissie dat de VS een ‘safe harbour’ is voor de persoonsgegevens van Europeanen, werd ongeldig verklaard. Deze was namelijk in strijd met de Richtlijn Bescherming persoonsgegevens, art. 7 en 8 van het EU-Handvest en het gezond verstand van iedereen die na juni 2013 wel eens een krant heeft opengeslagen. De volgende vraag is dan: “Wat betekent dit nou daadwerkelijk voor de privacy en het dataverkeer tussen de EU en de VS?”

Het antwoord daarop kent meerdere lagen. De Europese privacytoezichthouders (waaronder ons College bescherming persoonsgegevens), verzameld in de zogeheten Artikel 29-werkgroep, hebben de EU-lidstaten en de Europese instellingen opgeroepen snel (uiterlijk januari 2016) een passende oplossing te vinden voor  een rechtmatige doorgifte van persoonsgegevens naar de VS waarbij de fundamentele rechten van Unieburgers wél gerespecteerd worden. In de meest directe toekomst zal er waarschijnlijk niet veel veranderen. Facebook, de andere Amerikaanse software-giganten en hun advocatenlegers hadden namelijk al rekening gehouden met deze uitkomst. De bedrijven hebben veel juridische methoden tot hun beschikking om te verzekeren dat hun dataverkeer over de Atlantische oceaan voorzien is van een degelijke juridische basis. De belangrijkste is de individuele toestemming van de gebruikers, maar hieromtrent is nog veel onduidelijk omdat er wordt getwist over de invulling van het begrip “toestemming” in het kader van de richtlijn.

Op de iets langere termijn zijn er twee winnaars. Allereerst de advocaten die nu in het gat kunnen springen dat de “safe harbour”-beslissing heeft achtergelaten. Verder is de uitspraak ook goed nieuws voor Europese clouddiensten die nu meer rechtszekerheid hebben dan hun Amerikaanse concurrenten.

Als men de beslissing in het breedste kader beziet zijn de implicaties enorm en zeer onzeker. Het Hof heeft laten blijken dat het bereid is ver te gaan ter verdediging van de privacy van Europeanen. Door privacygroeperingen is de uitspraak dan ook juichend binnengehaald. Een dergelijke jubelende sfeer was ook te proeven bij de Big Brother Awards toen Max Schrems werd besproken.

Echter, er zijn ook kritische stemmen te horen die serieus moeten worden genomen. Er waren al onderhandelingen gaande tussen de EU en de VS om de overeenkomst te herzien. Dit politieke proces wordt door de uitspraak bemoeilijkt. Verder ligt een geografische versplintering van het internet mogelijk in het verschiet. Hierbij zou elk land voorschrijven dat gegevens die haar burgers betreffen, lokaal worden opgeslagen om zo de controle erover te behouden. Ook is het signaal dat door deze uitspraak wordt gestuurd naar landen buiten de EU en de VS, mogelijk schadelijk voor de verdere handhaving van privacy op het internet. Als de twee westerse mogendheden het al niet eens kunnen worden over de regels, hoe kunnen er dan ooit verdragen worden gesloten met China, Rusland of landen in het Midden-Oosten. Het metershoge hoofd van Schrems op de Big Brother Awards was optimistisch; of dit terecht was moet nog blijken.

© geschreven door Tim de Groot; redacteur Informail.
Bron foto: Big Brother Awards 2015 – Foto door Reinoud van Leeuwen

Meer informatie/bronvermelding:
-2000/520/EG: Beschikking van de Commissie van 26 juli 2000 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende Vaak gestelde vragen, die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd. Online publiek: https://tinyurl.com/nl5ss97
-De uitspraak van het Hof van Justitie: https://tinyurl.com/nkz6qvt
-Verklaring van de Artikel 29 Werkgroep, Brussel, 15 Oktober 2015. Online publiek: https://tinyurl.com/qev5zbg
-Teksten betreffende de uitspraak door medewerkers van het IViR. Geraadpleegd op 26-11-15: http://www.ivir.nl/news/safeharbour

SViR wordt mogelijk gemaakt door:

  • Brinkhof
  • Van Doorne
  • IViR
  • IE-Forum
  • De Brauw
  • Stibbe
  • DLA
  • Considerati
  • Bird en Bird Coffee Break
  • Simmons Simmons
  • Van Kaam
  • Klos CS