Uitspraak beveiligt ook auteursbelangen
26-10-2015
Op 6 oktober 2015 is er door het Europese Hof van Justitie EU een arrest gewezen met vergaande gevolgen. Het 'Safe Harbor'-verdrag, op basis waarvan Europese ondernemingen persoonsgegevens met de VS mochten delen, werd ongeldig verklaard. Deze uitspraak beperkt de doorgifte van persoonsgegevens aan de VS door Europese ondernemingen.
De doorgifte van persoonsgegevens naar landen buiten de EU is door de privacywetgeving streng beperkt. Krachtens de hoofdregel is doorgifte slechts mogelijk is als het niet-Europese land een passend en dus hoogwaardig beschermingsniveau biedt.
In 2000 werd er door de Europese Commissie een speciale regeling getroffen, het zogeheten Safe Harbor (veilige haven) Verdrag. Op grond van dit verdrag zouden Amerikaanse organisaties worden geacht een passend beschermingsniveau te hebben wanneer zij zich (door afgifte van een verklaring aan het US Department of Commerce) hebben gecommitteerd aan de zogenaamde Safe Harbor-principles. Deze Safe Harbor-regeling is veel bekritiseerd omdat niet of nauwelijks wordt gecontroleerd of deze organisaties zich ook daadwerkelijk aan de regels houden. Ook werkgroep van alle Europese toezichthouders, de Artikel 29 Werkgroep, waarschuwde destijds voor de beperkte betekenis van het Safe Harbor-certificaat.
In een arrest van het Europese Hof van Justitie EU is deze Safe Harbor beschikking ongeldig verklaard. Volgens het Hof geeft de beschikking geen blijk geeft van een beoordeling van de vraag of de waarborgen voor de privacy van de VS daadwerkelijk waarborgen bieden die gelijkwaardig zijn aan de Europese normen. Het Europese Hof oordeelde daarnaast dat privacy toezichthouders zelfstandig moeten onderzoeken of de doorgifte van persoonsgegevens voldoen aan de strenge Europese eisen.
De zaak vindt zijn oorzaak in het verzoek van de Oostenrijkse student Max Schrems aan de Ierse privacytoezichthouder. Schrem verzocht een onderzoek in te stellen naar de bescherming van zijn persoonsgegevens op Facebook. Via de Ierse dochteronderneming van Facebook werden zijn persoonsgegevens opgeslagen op servers in de VS. Schrems verzoek was gebaseerd op de onthullingen van klokkenluider Edward Snowden in 2013 over de activiteiten van de Amerikaanse inlichtingendienst NSA (National Security Agency). De Ierse autoriteit weigerde een onderzoek in te stellen. Zij volstond met de verwijzing naar de Safe Harbor beschikking waarin de Europese Commissie tot het oordeel was gekomen dat de VS waarborgen voor een passend beschermingsniveau van de doorgegeven gegevens boden.
De ongeldigverklaring van de Safe Harbor-beschikking trad onmiddellijk in werking. Dit betekent alle doorgiftes van persoonsgegevens op basis van de Safe Harbor- beschikking onrechtmatig zijn. Dat geldt dus ook voor ondernemingen die hun persoonsgegevens opslaan bij een cloudleverancier in de VS en vertrouwen op het Safe Harbor -verdrag.
Om deze onrechtmatigheid op te heffen moeten organisaties hun gegevensverkeer naar de VS staken of een alternatieve grondslag vinden. Dat laatste zal vanuit praktisch oogpunt de voorkeur hebben. De Wet bescherming persoonsgegevens geeft een lijst met alternatieven. Een zeer bruikbaar alternatief is het sluiten van een door de Commissie goedgekeurd modelcontract met een in de VS gevestigd bedrijf dat verantwoordelijk is voor de veilige opslag van de persoonsgegevens.
Vanuit het oogpunt van privacybescherming resulteert het gebruik van modelcontracten zonder concrete controle op naleving ons inziens nog steeds niet in het gewenste strenge beschermingsniveau. In de praktijk zal de huidige certificering voor de Safe Harbor principes op grote schaal worden ingewisseld voor een andere certificering 'op papier' in de vorm van modelovereenkomsten. Het arrest betekent in de praktijk dat voor de VS niet langer een uitzonderingspositie geldt en dat alle doorgiftes van persoonsgegevens, net zoals doorgiftes aan andere niet-EU landen, moeten voldoen aan strenge Europese voorwaarden.
Op dit moment zijn de Europese Unie en de VS in onderhandeling over een nieuw verdrag. Op een persconferentie over het arrest stelde Eurocommissaris Timmermans dat er wordt gewerkt wordt aan een nieuw en veilig systeem voor de doorgifte van persoonsgegevens naar de VS. De uitkomst van de onderhandelingen zouden in dit stadium echter nog onzeker zijn. Dit is ook duidelijk, wanneer je het beheer uit handen geeft buiten Europa heb je er geen enkele controle meer omdat de gegevens zich dan buiten de Europese jurisdictie bevinden.
Een aardig detail is dat in Duitsland op grond van de eigen wet de toezichthouder boetes van rond de € 300.000 op kan leggen aan bedrijven en organisaties die privacygevoelige gegevens buiten de EU parkeren. Dit lijkt ook de enige oplossing.
Het geheel is niet zo vreemd wanneer men zich realiseert dat in de Big Data, die het gehele etmaal over servers over de gehele wereld rouleren teneinde deze toegankelijk te maken op de plaats waar deze worden opgevraagd, zich ook gegevens bevinden die door deze te combineren overheidsgegevens op kunnen leveren die Europa dan wel de betrokken Europese landen niet uit mogen en waar misbruik van kan worden gemaakt door buitenlandse veiligheidsdiensten en ondernemingen. Gegevens waar ook commercieel voordeel mee kan worden behaald door partijen die niet gebonden zijn dan wel zich niet gebonden achten aan de Europese norm.
Bedrijven als Google en Facebook liggen al op verschillende terreinen overhoop met de toezichthouders. Facebook maakt zich met name strafbaar door metadata van geplaatste foto's te strippen terwijl het niet is toegestaan auteursgegevens van auteursrechtelijk beschermd werk te verwijderen. Veel staat er ook door particulieren in de cloud opgeslagen, zoals bij Dropbox. Het zou bij voorbeeld voor Engelse scholen verboden zijn leerlingen gegevens daar op te slaan.
Ook de auto-industrie heeft zich op het standpunt gesteld dat de data die door moderne voertuigen wordt uitgewisseld niet mogen worden gedeeld met dergelijke bedrijven omdat gevoelige data op onoorbare wijze verhandelbaar zouden kunnen worden voor marketingdoeleinden of erger.
Nagekomen
27-10-2015
Safe Harbor 2.0 is vannacht (Europese tijd) aardig aan het wankelen gebracht bij het goedkeuren van een nieuwe wet door de Amerikaanse senaat, de CISA. Met een overweldigende meerderheid werd een stapel papier door de Amerikaanse evenknie van de Nederlandse Eerste Kamer geloodst. Hierna is de goedkeuring vereist van het Huis van Afgevaardigden, maar dit lijkt slechts een formaliteit. Zij keurden de wet CISPA goed, die mogelijk nog erger was dan hetgeen nu voorligt. Het probleem met de nieuwe CISA is dat privacybeschermende amendementen zijn verdwenen en burgerdata vogelvrij worden voor de Amerikaanse overheid.
De CISA zorgt uitsluitend voor het open spelen van gegevens en het uit de weg ruimen van lastige bezwaren op grond van de EU privacybezwaren. De wet bevat nietszeggende maatregelen ter bescherming van de Europese data, die niet gelden voor overheidsverzoeken. En aangezien de overheidsverzoeken van vele kanten kunnen komen liggen deze data in feite op straat. Dus exact dat waar het Europese Hof in haar arrest over struikelde.
Bron: Wired
