Column


Column Friederike van der Jagt:

Deadlines, ook de Europese Commissie heeft er moeite mee

Iedereen kent het gevoel: aanhikken tegen een deadline. Je weet soms al tijden dat een hij er aankomt, maar op de een of andere manier kun je jezelf er niet toe zetten om aan een grote klus te beginnen (en is het op kleur ordenen van je sokkencollectie ineens een topprioriteit geworden). Maar ik voel me getroost door het gegeven dat ook de Europese Commissie moeite heeft om deadlines te halen. In oktober 2015 verklaarde het Europese Hof van Justitie in de zaak Schrems het zogenaamde Safe Harbor-verdrag ongeldig. Dit verdrag maakte het mogelijk dat persoonsgegevens vanuit de Europese lidstaten zonder nadere formaliteiten konden worden doorgegeven aan bedrijven in de VS, mits die zich hielden aan de Safe Harbor-beginselen.

Afwijkende definitie van privacybescherming
Na de Snowden-onthullingen was echter duidelijk dat de Amerikaanse overheid aan het begrip ‘privacybescherming’ een heel andere betekenis toedichtte dan men in Europa acceptabel acht. De Amerikaanse autoriteiten kennen zichzelf namelijk een onbeperkt recht op toegang tot communicatie toe, indien dit nodig is in het kader van de ‘nationale veiligheid’, ‘het algemeen belang’ of ‘de nationale wetgeving’. In de praktijk betekent dit dat de Amerikaanse overheid alle persoonsgegevens die aan de VS worden doorgegeven zonder enige beperking bewaart. Ook worden aan de toegang en het verdere gebruik van deze persoonsgegevens door de bevoegde nationale autoriteiten geen grenzen gesteld. Bovendien is het voor Europese burgers moeilijk om in de VS te klagen indien zij menen dat Safe Harbor gecertificeerde bedrijven zich niet houden aan de Safe Harbor-beginselen.

Meteen na deze baanbrekende uitspraak buitelden de diverse privacytoezichthouders over elkaar heen om hun zegje te doen. Zo verklaarde de Artikel 29 Werkgroep, het adviesorgaan van de Europese Commissie waarin de nationale privacytoezichthouders verenigd zijn, dat de Europese Commissie en de VS tot eind januari 2016 de tijd hadden om met een oplossing te komen. Tot die tijd zouden de nationale toezichthouders van handhaving afzien, maar owee als deze deadline niet gehaald zou worden: de toezichthouders benadrukten dat zij dan alle noodzakelijke acties zouden nemen om te zorgen dat de doorgifte van persoonsgegevens naar de VS aan de Europese privacyregels zou voldoen. Ook werden gecoördineerde gezamenlijke handhavingsacties niet uitgesloten en benadrukten de toezichthouders dat ook de andere, nog wel geldige, instrumenten die doorgifte van persoonsgegevens naar de VS mogelijk maken, nader zullen worden onderzocht. Deze instrumenten, zoals de modelcontracten die partijen ter zake kunnen sluiten, bevatten eigenlijk dezelfde flaws als het Safe Harbor-verdrag, dus de uitkomst van een dergelijk onderzoek laat zich al raden.

Dreigende sancties
Maar om nu het hele handelsverkeer met de VS in gevaar te brengen, dat ging de Europese toezichthouders te ver. Langzaam maar zeker kwam de deadline van 31 januari 2016 dichterbij. Jacob Kohnstamm, de voorzitter van de Autoriteit Persoonsgegevens (AP), de Nederlandse privacytoezichthouder, gaf in de media meerdere malen aan dat indien de deadline niet gehaald zou worden, de toezichthouder ervoor zou kunnen zorgen dat alle iPhones op zwart zouden gaan. Aan het gebruik van een iPhone is namelijk (veelal) de doorgifte van persoonsgegevens naar de VS verbonden. Het Europese Hof had immers in de Schrems-zaak benadrukt dat de toezichthouders dienen te waarborgen dat de regels ook daadwerkelijk worden nageleefd. Wel gaf Kohnstamm direct toe dat de AP, indien zij daadwerkelijk hiertoe over zou gaan, privacy en de bescherming daarvan, immens impopulair zou maken.

Een deadline is geen deadline
Op 31 januari 2016 gebeurde er echter niets…. Er werd geen Safe Harbor 2.0 bekendgemaakt en ook deed mijn iPhone het nog gewoon. De deadline bleek, zoals wel vaker het geval is met deadlines, niet zo keihard te zijn. Een paar dagen later volgt een officiële verklaring van de Europese Commissie: er is een akkoord bereikt over een nieuw raamwerk voor de doorgifte van persoonsgegevens vanuit Europa naar de VS. Van de naam ‘Safe Harbor’ is afscheid genomen, vanaf nu hebben we met het ‘EU-US Privacy Shield’ te maken. De handhaving van de regels wordt strikter en de toegang tot de ‘Europese’ gegevens door de Amerikaanse autoriteiten wordt gelimiteerd en transparanter. Daarnaast kunnen Europese burgers terecht bij een Privacy Ombudsman en worden kosteloze alternatieve geschillenbeslechtingsprocedures mogelijk gemaakt.

De precieze inhoud van het bereikte akkoord zou binnen enkele weken worden gepubliceerd en zowaar, een paar uur voordat mijn deadline voor deze column verstreek, stonden de stukken online. Is daarmee de deadline van de Europese toezichthouders gehaald? Niet helemaal: het publiceren van de stukken is slechts een eerste stap. Zo moeten onder meer de Europese lidstaten en de Europese toezichthouders nog gaan oordelen of zij menen dat met het Privacy Shield aan de bezwaren van het Hof tegemoet wordt gekomen en de VS weer een ‘veilige haven’ zal zijn voor de persoonsgegevens van Europese burgers. Op die uitkomst kan ik vandaag niet langer wachten, ik moet immers mijn deadline halen, want ik vrees dat de redacteur van Securityvandaag.nl geen genoegen zal nemen met de mededeling dat ik eraan werk en dat mijn column op hoofdlijnen klaar is.

 


Lees meer over