Na het privacy-shield: wat nu?
Na een jarenlang juridisch gevecht haalde de Oostenrijkse privacy-activist Max Schrems deels zijn slag thuis. In 2018 spande hij een rechtszaak aan tegen Facebook. Het sociale netwerk zou volgens hem niet zomaar gegevens van Europese gebruikers naar de Verenigde Staten mogen versassen. Eerst stapte Schrems daarvoor naar de rechter in Ierland, de Europese thuisbasis van het grootste sociale mediaplatform ter wereld. De zaak werd doorverwezen naar het Europese Hof in Luxemburg. Midden juli gaf de rechter de drieëndertigjarige Schrems grotendeels gelijk. De rechtbank verklaarde de Europees-Amerikaanse data-overeenkomst ongeldig. Die uitspraak heeft evenwel niet enkel betrekking op Facebook, maar ook op andere bedrijven die persoonsgegevens uitwisselen tussen de Verenigde Staten en Europa. ‘Ik ben erg blij met het oordeel. Het lijkt erop dat het Hof ons in alle aspecten heeft gevolgd’, reageerde Schrems meteen op zijn site.
Max Schrems, Privacy-activist
‘Het Hof verduidelijkte nu voor de tweede keer dat er een botsing is tussen de EU-privacywetgeving en de Amerikaanse surveillancewet.’
In strijd met de EU-privacywetgeving
In de rechtszaak kloeg Schrems twee zaken aan. Eerst en vooral trok hij de rechtsgeldigheid van het Privacy Shield in twijfel. Deze overeenkomst tussen de VS en Europa heeft het Hof in Luxemburg nu ongeldig verklaard. Het schild geeft niet voldoende bescherming voor de data van Europese burgers, zo oordeelde de rechtbank. ‘Het Privacy Shield is de facto een zelfregulerend kader op zijn Amerikaans, waarin bedrijven vrijwillig regels kunnen aannemen’, zo legt Linklaters-partner Guillaume Couneson tegen de zakenkrant De Tijd uit. Het probleem zit hem vooral bij de macht van de Amerikaanse inlichtingendiensten. Zo kunnen de diensten in het kader van surveillance-programma’s data van bedrijven opvragen bij verdenkingen over misdrijven. Op de aanspraken van die programma’s liggen er volgens het hof geen reële beperkingen, ook niet voor inlichtingen over burgers buiten de Verenigde Staten. Precies dat is volgens de rechtbank in strijd met de Europese wetgeving. ‘Het Hof verduidelijkte nu voor de tweede keer dat er een botsing is tussen de EU-privacywetgeving en de Amerikaanse surveillancewet’, vat Schrems de situatie samen.
In de rechtszaak kwam er ook een tweede methode van gegevensuitwisseling aan bod: de zogenaamde ‘standard contractual clauses’. Dit zijn standaardcontracten tussen twee bedrijven die de Europese Unie heeft goedgekeurd en die een grondslag bieden voor doorgifte van gegevens naar landen buiten de EU. Hoewel die clausules nu grotendeels overeind blijven, heeft het Hof ook hier bepaalde reserves over. Enkel als ze in overeenstemming zijn met de wetgeving in het Europese land, zijn ze volgens de rechtbank geldig. De gegevensuitwisseling moet veilig verlopen. ‘De uitspraak maakt duidelijk dat bedrijven de SSC’s niet alleen kunnen ondertekenen, maar ook moeten nagaan of ze in de praktijk kunnen worden nageleefd’, zei Schrems daarover.
Om na te gaan of de ‘standard contractual clauses’ in de praktijk worden nageleefd is heel wat juridische vuurkracht nodig.
Gevolgen voor bedrijven
Ondertussen bekijken de EU en het Amerikaanse handelsdepartement de mogelijkheden voor een derde, nieuwe overeenkomst. ‘Het Amerikaanse ministerie van Handel en de Europese Commissie zijn besprekingen begonnen om het potentieel voor een verbeterde EU-VS te evalueren. Privacy Shield-kader om te voldoen aan het arrest van 16 juli van het Hof van Justitie van de Europese Unie in de zaak Schrems II’, schrijven ze in een gezamenlijk statement. Dat betekent echter niet dat de problemen voor Europese bedrijven al van de baan zijn. Tot er een nieuw akkoord is bereikt, moeten bedrijven de uitspraak van het Europese Hof in principe naleven. En zelfs als er een nieuwe overeenkomst wordt gesloten, is het volgens experts nog maar afwachten of die wel voldoet aan de Europese privacywetgeving. ‘Zonder een grondige hervorming van de Amerikaanse surveillancewet, is ook die overeenkomst voer voor een nieuwe schijnvertoning op weg naar een snelle sloopsessie voor de rechtbank’, schrijft journaliste Natasha Lomas van TechCrunch daarover.
Tot er een nieuw akkoord is bereikt, moeten bedrijven de uitspraak van het Europese Hof in principe naleven.
De gevolgen van de uitspraak van het Europese Hof kunnen verstrekkend zijn. Veel bedrijven en diensten uit de VS baseren zich namelijk op het Privacy Shield om de gegevens van Europese klanten te verwerken. Denk bijvoorbeeld van de clouddiensten van Amazon of Microsoft, Google Analytics, tools voor online marketing, CRM, boekhoudpakketten, ERP, enzovoort. Kortom: diensten waarvan bijna elk modern bedrijf in Vlaanderen vandaag gebruik maakt zijn nu illegaal. In principe moeten bedrijven dus stoppen met ze te gebruiken. En dat zou ook snel moeten gebeuren. In een statement van eind juli heeft het European Data Protection Board (EDPB) er ook op gewezen dat er geen overgangsperiode is na de ongeldigverklaring van de dataovereenkomst.
‘Er is geen overgangsperiode voor de ongeldigverklaring
van de dataovereenkomst.’
Handhaving door Europese instanties
Omdat er geen overgangsperiode is, zouden bedrijven van de ene op de andere dag moeten stoppen met de dataoverdracht na de VS. Voor bedrijven die blijven werken met illegale tools, kunnen de juridische gevolgen ook op korte termijn groot zijn. Nog geen maand na de uitspraak van het Europees Hof over het Privacy Shield, wilde Max Schrems duidelijk maken dat het voor hem menens is. Hij sleepte op 17 augustus 101 websites voor het gerecht die nog steeds gebruik maken van diensten die in strijd zijn met de Europese regelgeving. Daaronder zaten ook vier Belgische websites, waaronder neckermann.be, bpost.be, logic-immo.be en flair.be.
‘We hebben een snelle zoekopdracht uitgevoerd op grote websites in elk EU-land om te zien of er code van Facebook en Google op staat. Deze codefragmenten sturen data over elke bezoeker door naar Google of Facebook’, aldus Schrems op de noyb site. Maar net dat is in strijd met de Europese datawet. ‘Beide bedrijven geven toe dat ze data over Europeanen doorgeven aan de VS voor verwerking, waar ze wettelijk verplicht zijn die data beschikbaar te stellen aan Amerikaanse instanties zoals de NSA. Google Analytics noch Facebook Connect zijn essentieel om de webpagina’s in de lucht te houden en het zijn diensten die ondertussen al vervangen of minstens uitgeschakeld konden worden’, besluit de privacy-activist.
Databeleid meteen evalueren
De organisatie voor databescherming maant bedrijven dan ook aan hun databeleid meteen te evalueren en aanpassen als het in strijd is met de Europese privacywet. De evaluatie van het databeleid moet ook case per case gebeuren, voor elke tool die door organisaties wordt gebruikt en elk Amerikaans bedrijf waarmee data worden uitgewisseld. Sowieso moeten bedrijven stoppen met gegevensoverdacht die wordt gereguleerd via het Privacy Shield. ‘Transfers op basis van dit wettelijk kader (het Privacy Shield, nvdr) zijn illegaal’, schrijft de EDPB. ‘Als je gegevens naar de VS wilt blijven verzenden, moet je controleren of je dat kunt doen onder de volgende voorwaarden.’
Één ding is duidelijk: voor de gemiddelde Vlaamse kmo wordt het een juridisch kluwen van jewelste.
Zo belanden we terug bij de SCC’s of standaardcontracten. Europese bedrijven moeten er nu voor zorgen dat alle samenwerkingen met Amerikaanse partners die gebaseerd waren op het Privacy Shield zo snel mogelijk vervangen worden door een overeenkomst op basis van de standaard contractclausules van de Europese Commissie. Zoals eerder aangegeven kunnen die contracten echter niet zomaar getekend worden. Ook hier moet contract per contract worden nagegaan of ze niet in strijd zijn met de Europese regels. Maar daar is natuurlijk ook veel juridisch krachtwerk voor nodig. Één ding is duidelijk: voor de gemiddelde Vlaamse kmo wordt het een uitdaging van jewelste.
