Recent hebben de Europese Commissie en de VS overeenstemming bereikt over de uitwisseling van persoonsgegevens bij terrorismebestrijding en opsporingszaken. Het bereiken van de overeenstemming heeft veel voeten in de aarde gehad. Er is vier jaar aan onderhandelen aan vooraf gegaan. Op basis van het gesloten umbrella agreement kunnen Europese burgers wiens persoonsgegevens worden verwerkt door een Amerikaans bedrijf of de Amerikaanse overheid, nu ook aanspraak maken op privacybescherming in de VS. Amerikanen konden dat al in Europa op basis van huidige wetgeving. Het Amerikaanse Congres moet echter nog wel instemmen met de gemaakte afspraken.
Safe Harbor Even een stap terug, want waarom is het eigenlijk nodig om aparte afspraken te maken tussen de VS en de EU over de verwerking van persoonsgegevens? De Europese Richtlijn 95/46/EG zegt dat verwerking van persoonsgegevens buiten de EU mogelijk is, mits het betreffende land dan wel een passend beschermingsniveau biedt. Een beschermingsniveau dat in ieder geval gelijk is aan het niveau in de EU. In principe is het beschermingsniveau in de VS niet voldoende. Dat betekent dus dat Europeanen altijd extra voorzichtig en kritisch moeten zijn op het moment dat ze te maken krijgen met een Amerikaans bedrijf.
Om verwerking in de VS toch mogelijk te maken, is het Safe Harbor framework in het leven geroepen. Het idee hierachter is dat als Amerikaanse bedrijven en de Amerikaanse overheid voldoen aan de principes van dit framework, er toch sprake is van een toereikend beschermingsniveau. Facebook is een belangrijk voorbeeld van een bedrijf dat de Safe Harbor principes gebruikt om aan te tonen dat zij voldoen aan het beschermingsniveau. Er is echter veel kritiek op deze principes en het framework. Zo kunnen bedrijven via een zelfevaluatie toetsen of ze voldoen. Dit werpt vraagtekens op over de garanties die het framework biedt.
Terug naar de overeenstemming Er is dus recent overeenstemming bereikt waardoor betere garanties zouden worden gegeven over het beschermingsniveau van de verwerking van de gegevens. Dit geldt dus alleen in geval van terrorismebestrijding en opsporingszaken. Dit umbrella agreement verandert voor de overige doelen voor de verwerking van persoonsgegevens niets af aan het Safe Harbor principe.
Zaak tegen Facebook Een Oostenrijkse student, Maximillian Schrems, is een rechtszaak gestart tegen Facebook. Hij heeft sinds een aantal jaar een Facebook account. Net zoals bij andere gebruikers het geval is, worden zijn persoonsgegevens geheel of gedeeltelijk vanuit de Ierse dochteronderneming van Facebook doorgegeven aan servers die zich in de VS bevinden. Schrems wil dat persoonsgegevens door Facebook niet langer in de VS worden verwerkt. Hij voert als één van de argumenten aan dat de onthullingen van Edward Snowden aantonen, dat er op zulke grote schaal afluisterpraktijken plaatsvinden in de VS, dat persoonsgegevens die op Amerikaanse servers staan, niet veilig zijn.
Conclusie Advocaat-Generaal van het Hof Yves Bot van het Hof van Justitie van de Europese Unie heeft in zijn conclusie in de Facebook-zaak aangegeven dat het umbrella agreement ongeldig is. Daarnaast vindt hij dat de beschikking van de Commissie de bevoegdheden van nationale toezichthouders niet mag beperken of teniet mag doen. Volgens Bot blijkt dat: “het recht en de praktijk in de Verenigde Staten toestaan dat op grote schaal de daaraan doorgegeven persoonsgebonden gegevens over de burgers van de Unie worden verzameld, zonder dat zij effectieve rechterlijke bescherming genieten.” Bot is van mening dat de grondrechten van Europese burgers worden geschonden.
En nu? De conclusie van de Advocaat-Generaal komt voorafgaand aan de uitspraak van het Europese Hof. Ervaring in andere zaken leert dat de rechters echter de mening van de Advocaat-Generaal doorgaans overnemen, maar het is geen garantie dat de rechters in deze zaak dat ook zullen doen. Het kan nog weken tot maanden duren voordat er duidelijkheid komt. Er zijn op dit moment onderhandelingen gaande over een nieuw Safe Harbor framework tussen de VS en de EU. De onderhandelingen komen door deze ontwikkelingen op losse schroeven te staan. Het is wellicht verstandig om eerst de uitspraak van het Hof af te wachten alvorens verder onderhandeld kan worden.
Doet u zaken met een Amerikaans bedrijf of heeft u servers waarop u data heeft staan van Europese burgers in de VS? De sanctiemaatregelen van nationale toezichthouders in Europa (waaronder het College bescherming persoonsgegevens) zijn niet mals, nog los van de negatieve publiciteit. Ik adviseer u graag over hoe u kunt voldoen aan de Europese wetgeving.
Simone Dirven
Comments