Column


IT-jurist Peter van Schelven over...

EU-US Privacy Shield: stand van zaken?

Export van persoonsgegevens naar de Verenigde Staten houdt de gemoederen in Europa sinds jaar en dag bezig. Met name voor duizenden in Europa gevestigde bedrijven met een hoofdkantoor aan de andere kant van de oceaan levert het thema hoofdbrekens op. Maar ook wereldwijd opererende cloudproviders van Amerikaanse komaf worstelen ermee.

Waarom? De reden is eenvoudig: de Europese privacywetgeving verbiedt in beginsel de export van persoonsgegevens naar de VS en dat is uiteraard een beperking van jewelste, zowel juridisch als economisch. Iedere organisatie in Europa die deze beperking schendt en ongeautoriseerd persoonsgegevens naar de VS stuurt, stelt zich bloot aan het risico van boetes en aansprakelijkheid. Daarbij moet bovendien voor ogen worden gehouden dat in privacytechnische zin al snel sprake is van export van data. Ook als bijvoorbeeld een IT-provider wordt ingeschakeld die in het kader van 24/7-service vanuit de VS toegang heeft tot een in Europa geplaatste database, hebben we juridisch gezien met export van data van doen.

Safe Harbor Principles
Gelukkig werd de soep al jarenlang niet zo heet gegeten als zij hier wordt opgediend. Er bestaan immers meerdere uitzonderingen op de hoofdregel van het exportverbod. Zo hebben grotere bedrijven zo’n 1,5 decennium lang gebruikgemaakt van één van die uitzonderingen door toepassing te geven aan de zogeheten ‘Safe Harbor Principles’. Als een bedrijf in de VS bereid was deze privacyprincipes, die vastgelegd zijn in een verdrag tussen Europa en de VS uit het jaar 2000, te hanteren, dan was – tot voor kort – de export vanuit Europa naar zo’n bedrijf privacyrechtelijk oké. Aan die gedachte lag de aanname ten grondslag dat de Safe Harbor Principles voldoende privacybescherming aan Europese burgers boden.

Aan de rechtsgeldigheid van die uitzonderingsregel is vorig jaar echter een abrupt einde gekomen, toen het Europese Hof van Justitie te Luxemburg op 6 oktober in de spraakmakende Schrems-case een dikke streep zette door het besluit waarmee Europa de Safe Harbor-regeling in 2000 had omarmd. Het Verdrag komt, aldus de Europese rechter, onvoldoende tegemoet aan de hoge eisen die de burgers in Europa aan hun privacybescherming mogen stellen. Met name op het punt van de rechtsbescherming schiet het tekort. Kort gezegd: het idee dat er onder de Safe Harbor-regeling onvoldoende mogelijkheden bestonden om een privacygeschil aan een onafhankelijke Amerikaanse rechter te kunnen voorleggen, kon de toets der kritiek van de Europese rechter niet doorstaan. Met die beslissing zadelde de rechter in Europa in één klap de Europese samenleving – bedrijven, overheden, burgers én politici – met een hoofdpijndossier op. Feitelijk werd Safe Harbor linea recta naar de prullenbak verwezen.

Onderhandelingen VS-EU
De rechterlijke beslissing heeft de toen toch al lopende politieke onderhandelingen tussen Europa en de VS over een nieuwe set privacyafspraken – als opvolger van de Safe Harbor-regeling – stevig onder druk gezet. Hoewel de onderhandelingen zelfs tot en met het afgelopen weekend doorliepen, is het aanvankelijke streven om uiterlijk eind januari volledige duidelijkheid te verschaffen mislukt. Begin deze week heeft de Europese commissaris Věra Jourová slechts de outline van de nieuwe afspraken – die de fraaie naam ’EU-US Privacy Shield’ krijgen – in Brussel gepresenteerd, maar de definitieve tekst van de regels is daarbij echter niet gepubliceerd. Zij kwam met niet veel meer dan een persbericht en een toespraak voor een commissie van het Europees Parlement. Wel is er inmiddels een factsheet met de hooflijnen van het onderhandelingsresultaat. De burgers en bedrijven in Europa staan voorlopig dus nog met lege handen, want geen verstandig handelend bedrijf in Europa, laat staan een goed juridische adviseur, vaart blind op louter een persbericht en een factsheet.

Ook de nationale privacyautoriteiten uit de diverse Europese landen, die woensdag bijeen waren, hebben hun zegen nog niet aan het onderhandelingsresultaat gegeven. Kohnstamm, voorzitter van de Autoriteit Persoonsgegevens, zegt terecht: “Eerst zien, dan geloven.” Zonder finale tekst kunnen de afspraken uiteraard niet echt beoordeeld worden.

Voldoende privacybescherming?
Op basis van de summiere informatie die thans beschikbaar is, is inmiddels wel de vraag gerezen of de nieuwe afspraken naar verwachting wel voldoende rechtsbescherming kunnen gaan bieden. Sommige eerste reacties zijn sceptisch. Zo kan de Amerikaanse geheime dienst NSA nog steeds vrolijk en ongehinderd grasduinen in data van Europese burgers. Daarnaast wordt in de VS een nieuwe vorm van geschilbehandeling geïntroduceerd, waarvan thans nog maar weinigen de effectiviteit kunnen inschatten. Burgers uit de EU kunnen, zo is politiek afgesproken, klachten voorleggen aan een nieuwe ombudsman, die onderdeel wordt van het Amerikaanse ministerie van Buitenlandse Zaken. Het klinkt nogal mager want de macht van een ombudsman is doorgaans beperkt. Al met al valt het dus nog maar te bezien of de set van politieke afspraken, nadat deze zullen zijn omgezet in een keurig juridisch stuk, op een welwillend oordeel van de Europese rechter kan rekenen. Zo zeker is dat allemaal nog niet.


Lees meer over