Europese privacy-waakhonden plannen overleg na Facebook-arrest

De uitspraak is een grote overwinning voor de 28-jarige Oostenrijker Max Schrems, die er al een hele juridische campagne heeft op zitten, en voor Europese privacy-voorvechters.

Eind september werd al duidelijk dat Facebook op een juridische nederlaag afstevende in de zaak die door Schrems was aangespannen. Tot dusver kon het sociaalnetwerkbedrijf ongehinderd profielgegevens van Europese gebruikers opslaan op servers in de VS. De Europese Commissie had namelijk in 2000 geoordeeld dat de VS 'een gepaste bescherming' konden bieden bij de opslag van Europese data. Die regeling staat bekend onder de benaming 'Safe Harbor' of 'veilige haven'.

Niet alleen Facebook maakt daarvan gebruik. De afgelopen 15 jaar tekenden bijna 5.500 Amerikaanse bedrijven in op het programma om Europese persoonsdata in de VS te kunnen opslaan. Daarvan maakten er zowat 4.400 nog actief van de regeling gebruik. De volledige lijst van  Amerikaanse bedrijven die onder de paraplu van Safe Harbor Europese gebruikersgegevens in de VS bewaren, kunt u hier online raadplegen.

Het  beschermingsprogramma wordt nu echter naar de prullenmand verwezen door het Europese Hof van Justitie. Dat maakt zich zorgen over de manier waarop de Amerikaanse overheid kan omspringen met die persoonlijke gegevens. 'De vereisten inzake nationale veiligheid, het openbaar belang en de rechtshandhaving hebben in de Verenigde Staten voorrang boven de regeling van de veilige havens, zodat de Amerikaanse ondernemingen in geval van een conflict met die eisen verplicht zijn om zonder beperking van de beschermingsregels in die regeling af te wijken', staat te lezen in het arrest. U kunt de volledige tekst van het arrest hier raadplegen.

Met andere woorden: de 'veilige havens' zijn maar veilig zolang de Amerikaanse autoriteiten geen dreiging zien voor hun nationale veiligheid. En de onthullingen van CIA-klokkenluider Edward Snowden leerden al dat de veiligheidsdiensten in de VS dergelijke dreigingen erg breed zien, waardoor de bescherming van de persoonsgegevens de facto onbestaand is.

'Een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie, moet worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven', luidt de snoeiharde conclusie van het Hof.

Concreet betekent dit nu dat het Ierse gerecht, waar Schrems zijn zaak aanspande omdat Facebook in Europa van daaruit opereert, nu 'met de nodige voortvarendheid en zorgvuldigheid' moet oordelen 'of de doorgifte van de gegevens van de Europese abonnees van Facebook naar de Verenigde Staten moet worden opgeschort op grond dat dit land geen waarborgen voor een passend niveau van bescherming van persoonsgegevens biedt'.

De implicaties van dit arrest zijn bijzonder breed. Het probleem voor Facebook geldt bij uitbreiding voor alle Amerikaanse ondernemingen die Europese persoonsgegevens in de VS bewaren. Omdat het Hof de 'Safe Harbor'-regeling van de Europese Commissie vernietigt, is er geen pan-Europese rechtszekerheid meer. Elke nationale autoriteit moet nu voor zichzelf uitmaken of ze nog toelaat dat Facebook persoonsgegevens van die landen in de VS bewaart. Ofwel moet Facebook dus met al die individuele landen gaan onderhandelen, ofwel moeten er (dure) Europese servers geïnstalleerd worden.

Het Europese hoofdkantoor van Facebook zegt in een reactie dat het 'absoluut noodzakelijk' is dat de VS en de EU een oplossing vinden die rechtszekerheid biedt en die 'alle vragen omtrent de nationale veiligheid oplossen'. 

De Europese Commissie probeerde vanmiddag in een eerste reactie de gemoederen te bedaren. De Commissie wijst erop dat er al onderhandelingen bezig waren over een nieuwe versie van de Safe Harbor. Het voordeel van dit arrest - dat er overigens veel sneller kwam dan we van het Europees Hof gewoon zijn - is dat het nu een duidelijk kader afbakent waarbinnen de Commissie met de Amerikanen mag onderhandelen.

De Belgische privacycommissie liet vanavond weten dat ze donderdag overleg zal plegen met haar Europese collega-toezichthouders (de zogenaamde Werkgroep Artikel 29). De privacycommissie zal volgende week donderdag (15 oktober) meedelen welk standpunt ze inneemt. 'Dit arrest heeft invloed op alle gegevensdoorgiftes naar de Verenigde Staten en gelet op het belang ervan, is het aangewezen dit op Europees niveau te coördineren', aldus de privacycommissie in een persbericht.

Edward Snowden, de klokkenluider met wie het allemaal begon, reageerde uitgebreid via Twitter. Hij dankte Max Schrems voor zijn bijdrage om de wereld te verbeteren, en het Europees Hof voor 'het verdedigen van digitale rechten'.

Clausules

Volgens Peter Van Dyck, Senior Associate bij het advocatenkantoor Allen & Overy, is het meest waarschijnlijke scenario dat Amerikaanse bedrijven nu gaan proberen extra clausules in hun contracten op te nemen.

'De Europese Commissie heeft destijds een aantal standaardclausules geschreven die gebruikt kunnen worden bij de export van persoonsdata. Ik zou bedrijven adviseren om daar in eerste instantie op terug te vallen', zegt Tom De Cordier, specialist databescherming van het kantoor CMS DeBacker. Ook de Europese Commissie zelf schuift die oplossing naar voren.

'Maar ook bij die clausules rijst de vraag of ze niet in strijd zijn met de Europese wetgeving op databescherming. Ze bevatten immers een aantal bepalingen die heel nauw aansluiten bij het artikel uit de Safe Harbor-regeling dat het Europees Hof nu heeft vernietigd', zegt De Cordier.

Eenzelfde geluid horen we bij Mike Gillespie van het Britse consultancybureau Advent IM. 'Als we niet kunnen terugvallen op een akkoord tussen de EU en de VS, in welke mate kunnen we dan vertrouwen op contractuele clausules? Zullen die zwaarder wegen dan de Patriot Act (de Amerikaanse beveiligingswet die de inlichtingendiensten ruime bevoegdheden geeft, red.)? Onwaarschijnlijk.'

Bedrijven die van de Safe Harbor gebruikmaakten, doen er in elk geval goed aan de actualiteit op te volgen en eventueel contact op te nemen met de bevoegde toezichthouders, zegt De Cordier.

'Ook Europese ondernemingen die persoonsgegevens naar de VS willen sturen, worden door dit arrest gedwongen om een alternatieve piste te bewandelen', zegt Van Dyck. In de praktijk hebben veel bedrijven dat al gedaan, bijvoorbeeld door extra clausules in hun contracten op te nemen.

Clouddiensten

Ook bedrijven die werken met Amerikaanse aanbieders van cloudplatformen, zoals Salesforce of Workday, doen er goed aan om hun contracten door te lichten en contact op te nemen met de clouddienst in kwestie. In theorie zou men aan alle gebruikers de individuele toestemming kunnen vragen om hun data in de VS op te slaan,  maar dat is in de praktijk onwerkbaar, denkt De Cordier. 'Een werknemer kan moeilijk nee zeggen als zijn werkgever dat vraagt, zodat het niet om een vrije toestemming zou gaan, en dus ook niet om een geldige toestemming. Bovendien loop je dan het risico dat de werknemer later zijn toestemming weer intrekt.'

Ook heel wat gewone consumenten maken gebruik van allerlei apps en webdiensten van Amerikaanse bedrijven. Denk maar aan populaire online diensten van bedrijven als Google, Microsoft, Dropbox of Amazon. In theorie bestaat de kans dat die bedrijven ons de komende dagen en weken zullen vragen nieuwe privacyclausules te ondertekenen, waarbij we toestemming geven om onze data in de VS op te slaan. Tom De Cordier: 'Ik ben niet zeker dat ze dat op grote schaal gaan doen. Maar het arrest maakt aan al die bedrijven en softwareontwikkelaars wel duidelijk dat Europa veel meer transparantie en duidelijkheid verwacht rond de vraag hoe er met persoonsgegevens wordt omgesprongen.'

Amerikaanse bedrijven mogen Europese persoonsgegevens nog wel laten bewaren door hun Europese dochterbedrijven, op servers die op Europese bodem staan. Maar ook die oplossing dreigt onderuitgehaald te worden door juridische procedures in de VS. De Amerikaanse justitie vindt immers dat ze Amerikaanse bedrijven mag verplichten om ook die data vrij te geven indien daarom gevraagd wordt. Dat principe werd bevestigd door een Amerikaanse rechtbank, maar vormt nog het voorwerp van een hoger beroep.

Nieuwe regeling

Op langere termijn is de onzekere juridische toestand niet houdbaar. 'De Europese Commissie wordt door dit arrest allicht gedwongen om snel een nieuw Safe Harbor-regime uit te vaardigen dat rekening houdt met de opmerkingen van het Hof van Justitie. Het grote voordeel van het arrest is dat het de onderhandelingspositie van de Europese Commissie ten aanzien van de Amerikaanse overheid allicht versterkt', zegt Peter Van Dyck.

Ten slotte kan het arrest ook gevolgen hebben voor gelijkaardige regelingen die de Europese Unie heeft getroffen met andere landen, zoals Zwitserland. Al is het niet noodzakelijk zo dat al die regelingen per definitie ongeldig zijn. Volgens het arrest kan een 'Safe Harbor' wel degelijk rechtsgeldig zijn als de Europese Commissie heel duidelijk kan aantonen dat het land in kwestie de Europese privacyregels respecteert. Het probleem met de VS is net dat zo'n grondig onderzoek er nooit geweest is. En als het vandaag toch zou plaatsvinden, is de kans groot dat de Amerikanen niet aan de Europese normen zouden voldoen.