Persbriefing persoonsgegevens VS-EU: Privacy Shield, de opvolger van Safe Harbor

De noodzaak van Safe Harbor / Privacy Shield

In de digitale economie worden persoonsgegevens voortdurend over de wereld heen en weer gestuurd. Europa kent een veel strengere wetgeving op het gebied van privacy dan andere landen. De export van persoonsgegevens uit de EU is dan ook lastig, want de bescherming van de Europese wet zou kunnen vervallen. Ieders persoonsgegevens, van adressen tot internetgebruik en van personeelsdossier tot medische gegevens, zouden dan vogelvrij zijn.

De Europese wet heeft daarom voorwaarden gesteld aan de verzending van gegevens naar andere landen. Als een land onvoldoende waarborgen biedt voor gegevensverwerking, zoals de VS, kan de Europese Commissie aanvullende afspraken maken, zodat de datastroom door kan gaan. Dat is wat bedrijven als Facebook en Google doen. Die slaan onze gegevens op in de VS, maar beloven te voldoen aan extra bepalingen die door de EU zijn opgelegd om te compenseren voor het gebrek aan wetgeving in de VS.

Als dergelijke afspraken er niet zouden zijn, zouden onze gegevens niet meer naar de VS kunnen worden overgebracht. Facebook en Google zouden dan onze gegevens alleen nog in de EU mogen bewaren en verwerken. Kunnen ze dat niet, zouden ze mogelijk de dienstverlening volledig moeten staken.

In Europa zijn we streng op het bewaken van de privacy. Het recht op privacy is gewaarborgd in het Europees Handvest van de Fundamentele rechten, die onderdeel is van het Verdrag van Lissabon. De VS kennen zo'n recht niet. De ervaringen van Europa met fascistische en communistische totalitaire regimes hebben ons geleerd dat burgers moeten worden beschermd tegen zowel de overheid als het bedrijfsleven, die het liefst alles van ons zouden willen weten.

De bescherming van de persoonlijke levenssfeer is net zo essentieel voor het overeind houden van de democratie als de vrijheid van meningsuiting. Als je voortdurend in de gaten wordt gehouden, is het veel moeilijker om kritisch te zijn of te pleiten voor verandering.

De val van Safe Harbor, de geboorte van Privacy Shield

Eerst kende Europa Safe Harbor: een besluit van de Europese Commissie dat bedrijven toe stond om in de Verenigde Staten persoonsgegevens van Europese burgers te verwerken, mits zij zichzelf certificeerden. Zo beloofden de bedrijven zich te houden aan aanvullende regels met betrekking tot het beschermen van de persoonsgegevens onder hun controle. Deze aanvullende regels (bovenop de Amerikaanse wetgeving) hielden onder meer in dat de gegevens niet zonder meer aan derden zouden worden overgedragen.

De Snowden-onthullingen maakten duidelijk dat de Amerikaanse wetgeving erin voorziet dat alle Amerikaanse bedrijven verplicht zijn mee te werken aan ongerichte massasurveillance en dat de NSA deze mogelijkheid bovendien zeer ruim interpreteert en actief inzet, bijvoorbeeld in het PRISM-programma. Bovendien maakten de onthullingen het aannemelijk dat bedrijven als Microsoft, Skype, Facebook en Google daadwerkelijk onder massasurveillance van de NSA staan.

Max Schrems, een Oostenrijkse rechtenstudent, diende een klacht in tegen Facebook bij de Ierse privacywaakhond, omdat hij van mening was dat het tegen het Europese recht is dat zijn persoonsgegevens worden betrokken in massasurveillanceprogramma's van een derde land. De Ierse waakhond weigerde deze klacht in behandeling te nemen vanwege het bestaan van het Safe Harborbesluit, dat expliciet stelde dat de nationale privacywaakhonden geen onderzoek mochten doen naar verwerking van persoonsgegevens door bedrijven die zichzelf hadden gecertificeerd onder het Safe Harborbesluit. Schrems bracht vervolgens de zaak naar het Ierse Hooggerechtshof, die het Europese Hof van Justitie om raad vroeg. Deze deed in oktober 2015 uitspraak. Het Hof verklaarde het Safe Harbour besluit ongeldig. Een overwinning ten gunste van hen die voor privacy strijden. Een nieuw akkoord tussen de Verenigde Staten en Europa moest onderhandeld worden om te komen tot betere afspraken over de opslag van persoonsgegevens. Deze deal wordt het Privacy Shield genoemd.

De uitspraak van het Hof over Safe Harbor

 Het Hof verklaarde het Safe Harborbesluit ongeldig om verschillende redenen. Een daarvan was de aanwezigheid van ongerichte massasurveillance op de inhoud van berichten, die volgens het Hof strijdig is met de essentie van het recht op privacy en daarmee in alle gevallen onacceptabel is. Ook vond het Hof dat de bescherming van de privacy in een derde land in essentie gelijkwaardig moet zijn aan de bescherming in de EU. Dat wil zeggen dat er in ieder geval op alle niveaus onafhankelijk toezicht moet zijn op het verwerken van gegevens en dat er mogelijkheden moeten zijn voor Europeanen om bezwaar te maken tegen het gebruik van hun gegevens. Een betekenisvolle gang naar de rechter hoort daar ook bij. Deze voorwaarden ontbraken in de Amerikaanse wet.

De uitspraak van het Hof is in directe zin alleen toepasbaar op gegevens die worden geëxporteerd naar de VS onder het Safe Harborregime. Alternatieve methoden van overdracht van gegevens zijn niet direct verboden. Het betreft dan de juridische vormen Standaard Contractclausules en Binding Corporate Rules. Indirect echter maakt het Hof duidelijk dat ook deze methoden niet houdbaar zijn zonder drastische wijzigingen in het juridische klimaat in de VS. De mogelijkheid van massasurveillance die in de VS bij wet is vastgelegd is even ondermijnend voor deze methoden als voor Safe Harbor en het lijkt logisch dat het Hof in de toekomst tot hetzelfde oordeel zal komen als de vraag wordt voorgelegd of deze methoden voldoen aan de eisen van de Europese verdragen.
De uitspraak van het Europese Hof impliceert dan ook dat overdracht van persoonsgegevens aan de VS dient te worden gestaakt - in eerste instantie gegevensoverdracht onder het Safe Harborregime, maar in tweede instantie ook andere vormen van gegevensoverdracht die vatbaar zijn voor massasurveillance.

De afspraken in Privacy Shield

De Europese Commissie heeft de van de samenwerkende nationale privacywaakhonden drie maanden te tijd gekregen om te komen tot nieuwe afspraken met de VS die wel voldoen aan de eisen van de Europese verdragen. Op 3 februari heeft de Europese Commissie bekend gemaakt dat er nieuwe afspraken waren gemaakt die wel voldoen aan de eisen van het Hof. De afspraken zijn daarna verder uitgewerkt en zijn 29 februari gepubliceerd.

De afspraken houden het volgende in:

  • Amerika belooft in een brief van Minister Kerry van Buitenlandse zaken dat Europese burgers niet langer worden onderworpen aan 'indiscriminate mass surveillance'. Amerikaanse binnenlandse beperkingen voor het verzamelen van persoonsgegevens door opsporings- en inlichtingendiensten worden ook van toepassing op trans-Atlantisch dataverkeer. Verzameling van bulkgegevens mag alleen nog ten behoeve van zes doelstellingen, waaronder bestrijding van terrorisme en cybercriminaliteit.
  • Er is een nieuwe wet aangenomen - de Judicial Review Act - die Europese burgers het recht geeft om naar de Amerikaanse rechter te stappen als hun persoonsgegevens worden misbruikt.
  • Er komt binnen het Ministerie van Buitenlandse Zaken van de VS een ombudspersoon die klachten gaat oppakken van Europese burgers rond het gebruik van hun persoonsgegevens.

Wat vindt GroenLinks van de Privacy Shield deal?

Het nieuwe Privacy Shield biedt volstrekt onvoldoende waarborgen en GroenLinks verwacht dat bij een nieuwe zaak-Schrems door het Hof opnieuw worden afgewezen. Het Hof stelt namelijk dat alle massasurveillance zonder duidelijke verdenking indruist tegen de essentie van het recht op privacy en wil geen uitzondering maken voor specifieke onderzoeksgebieden. Privacy Shield bevat zes uitzonderingsgebieden en is daarmee in strijd met de eisen van het Hof.

Het Hof eist bovendien onafhankelijk toezicht op het gebruik van persoonsgegevens. De ombudspersoon binnen het Ministerie van Buitenlandse Zaken van de VS is niet onafhankelijk en kan dat ook niet zijn. De internationale organisatie van ombudsmannen heeft daarom ook al bezwaar aangetekend tegen het gebruik van de term ombudspersoon in Privacy Shield. Ook het Hof zal de ombudspersoon niet voldoende onafhankelijk vinden en oordelen dat het Amerikaanse recht nog steeds niet in essentie gelijkwaardig is aan de Europese wet en dat daarom Privacy Shield ongeldig is.

Dankzij Europese Verdragen zullen ieders fundamentele rechten worden gerespecteerd, niet alleen die van Europese burgers. De Judicial Review Act geeft echter alleen rechten aan Europese burgers en niet aan niet-EU-burgers wiens gegevens via Europa naar de VS zijn gezonden. GroenLinks verwacht dan ook dat het Hof zal oordelen dat Safe Harbor tekortschiet in het beschermen van niet-EU-burgers.

Europese politici, van onder meer de Groenen, hebben al jarenlang bij de Europese Commissie gevraagd om het intrekken van het Safe Harborbesluit, omdat het duidelijk was dat de situatie in de VS strijdig was met de Europese wetten en verdragen. Deze oproepen werden stelselmatig genegeerd. De Europese Commissie heeft daarmee bijgedragen aan de ontwikkeling van een tijdbom onder de digitale economie. Door eerder aan te geven dat er dringend wijzigingen nodig waren, had voorkomen kunnen worden dat er een schokeffect zou optreden.

Door de introductie van Privacy Shield verergert de Europese Commissie de onduidelijkheid over en de risico's van gegevensoverdracht naar de VS. Aangezien het negatieve oordeel van het Hof over Privacy Shield onvermijdelijk is, komt er een moment waarop de privacywaakhonden gedwongen zullen zijn om de overdracht van persoonsgegevens naar de VS te verbieden. Daarbij kunnen sommige landen, waaronder Nederland, nu al grote boetes opleggen (tot 10% van de jaaromzet). Vanaf 2018, bij het in werking treden van de nieuwe Europese verordening gegevensbescherming, zullen alle privacywaakhonden boetes tot 4% van de wereldwijde jaaromzet kunnen opleggen. De conclusie is dan ook dat de Europese Commissie met de introductie van Privacy Shield de tijdbom alleen een nieuwe eindtijd heeft gegeven. De bom tikt ondertussen gewoon door.

De samenwerkende Europese privacywaakhonden zullen de komende weken de afspraken in Privacy Shield bestuderen. Ondertussen werken mensen als Max Schrems al aan nieuwe klachten om de waakhonden te vragen onderzoek te doen naar het gebruik van persoonsgegevens in de VS.

De situatie in de EU en in Nederland

De Europese verdragen verbieden de Europese instituten zich te begeven op het terrein van de nationale veiligheid van lidstaten. De uitspraak van het Hof is dan ook niet in directe zin van toepassing op nationale inlichtingendiensten in de EU, die soms even ernstige inbreuken maken op de bescherming van persoonsgegevens en privacy als de NSA. De uitspraak van het Hof zal echter uiteindelijk toch doorwerken in nationale jurisprudentie. Bovendien kent het Europese Hof voor de Rechten van de Mens (EHRM) deze beperking niet. In een recente uitspraak over inlichtingendiensten in Hongarije heeft het EHRM een uitspraak gedaan die verwijst naar de Zaak-Schrems en die duidelijk maakt dat het EHRM ook van mening is dat ongerichte massasurveillance op de inhoud van berichten in strijd is met het Europese Verdrag van de Rechten van de Mens.

In Nederland heeft het Gerechtshof in Den Haag in de zaak Prakken d'Oliveira duidelijk gemaakt dat het in Nederland op dit moment ontbreekt aan onafhankelijk toezicht op de inlichtingendiensten. De Autoriteit Persoonsgegevens is onafhankelijk, maar niet gerechtigd toezicht te houden op de inlichtingendiensten en de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) is niet onafhankelijk, omdat deze slechts aan de Minister kan rapporteren. Daarom stelt het Hof dat aftappen van niet-verschoningsgerechtigden niet toelaatbaar is, laat staan het aftappen van verschoningsgerechtigden, die zeker geen verlaagde bescherming dienen te genieten.

Neem voor meer informatie of interviewverzoeken contact op met Lowie Kok, persvoorlichter GroenLinks Europa
Telefoon: +31 634 930 173
E-mail: lowie.kok@ep.europa.eu

Kijk voor extra informatie ook op het Mediacentrum van GroenLinks Europa.
Socials:

Deel dit bericht

TwitterFacebook