Maandag 12 september 2016

Amerika: een privacy derdewereldland?

Wist je dat de Verenigde Staten door Europa worden gezien als derdewereldland? Het klinkt onlogisch, maar toch is het waar. Natuurlijk niet op het gebied van economie, maar wel op het gebied van gegevensbescherming. Sinds 1998 is het in Europa verboden om persoonsgegevens van EU-burgers door te geven naar landen buiten de Europese Unie wanneer daar geen “passend beschermingsniveau” is. Dat betekent dat de gegevens alleen doorgegeven mogen worden als ze in dat andere land net zo goed beschermd worden als hier in Europa. Ten tijde van het sluiten van het verdrag waren er maar elf landen buiten Europa die volgens de Europese Unie een passend beschermingsniveau hadden. De Verenigde Staten werden door Europa aangemerkt als een land met een ontoereikend beschermingsniveau. Er was dus een oplossing nodig om toch persoonsgegevens door te kunnen geven naar Amerika. Daarom werd in 2000 het Safe Harbour verdrag in het leven geroepen.

Safe Harbour

Safe Harbour, een veilige haven dus, waar de persoonsgegevens van ons Europeanen veilig zouden zijn. Voor de onderlinge economie tussen Europa en de VS is het belangrijk dat er persoonsgegevens uitgewisseld kunnen worden. Denk alleen al aan de belangen van grote bedrijven als Facebook, Google en Apple. De Europese Commissie sloot daarom namens de EU het Safe Harbour verdrag met de VS. Door dit verdrag kon elk Amerikaans bedrijf beloven zich te houden aan de eisen van privacybescherming zoals deze in Europa gelden. Als een bedrijf dit deed was het voor Europese organisaties toegestaan om persoonsgegevens door te geven; het Amerikaanse bedrijf zou dan een passend beschermingsniveau hebben.

Edward Snowden

In mei 2013 kwam Edward Snowden met schokkende onthullingen over gegevensbescherming in de VS. De Amerikaanse NSA, een inlichtingendienst, bleek massaal Europese persoonsgegevens te verzamelen.

Hierop stapte een Oostenrijkse jurist, Max Schrems, naar de rechter. Hij wilde niet dat de Ierse afdeling van Facebook zijn gegevens door zou geven aan de afdeling in de Verenigde Staten. Volgens hem bleek door de onthullingen van Snowden dat er totaal geen passend beschermingsniveau was in de VS en dat het Safe Harbour verdrag een wassen neus was.

Het Hof van Justitie heeft in deze rechtszaak tussen Max Schrems en Facebook gezegd dat de VS op grote schaal en zonder filtering toegang hebben tot veel data van Europese burgers. Er kan ook niet goed gecontroleerd worden of de Amerikaanse bedrijven zich wel aan de afspraken uit het verdrag houden. Zelfs met het Safe Harbour verdrag kan de VS dus geen passend beschermingsniveau bieden voor de gegevens van Europese burgers, zo blijkt uit deze uitspraak. Het Hof van Justitie zet een dikke streep door het verdrag. Wat nu?

EU-US Privacy Shield

In februari 2016 is er een nieuwe overeenkomst gesloten tussen Europa en de VS: het EU-US Privacy Shield. Dit is de opvolger van het dus ongeldig verklaarde Safe Harbour verdrag. Het Privacy Shield staat nog wel in de steigers en er moet goedkeuring verleend worden door de toezichthouders op privacy van elk land, in Nederland de Autoriteit Persoonsgegevens. Toch lijkt het nu al een stap vooruit ten opzichte van Safe Harbour. In plaats van een systeem waarbij de Amerikaanse bedrijven beloven zich aan de Europese maatstaven voor privacybescherming te houden, zal er bij het Privacy Shield ook echt gecontroleerd worden of dit daadwerkelijk gebeurt. Verder heeft de Amerikaanse regering toegezegd niet meer op grote schaal de data van Europeanen te monitoren. Ook komt er een onafhankelijk Amerikaans klachtenorgaan, een soort ombudsman, waar Europeanen terecht kunnen met klachten over het gebruik van hun persoonsgegevens in de VS. Het is afwachten hoe goed het EU-US Privacy Shield in de praktijk zal werken en of een volgend “Snowden-scenario” ons bespaard zal blijven. De toekomst zal het uitwijzen!

(212)