Strikt juridisch genomen bevinden bedrijven die gebruikersdata in de Verenigde Staten laten opslaan, zich in een lastig parket. Maar een snelle oplossing ontbreekt. Er ontstaat een buitengewoon moeilijke situatie, nu het Europese Hof van Justitie een streep door de Privacy Shield-overeenkomst haalt, zegt directeur Peter Kager van ICTRecht Privacy. Directe consequentie is dat de opslag van privacygevoelige gegevens in Amerika stukken moeilijker is geworden. 'Er zijn nog wel mogelijkheden, maar het is buitengewoon lastig geworden.'
Ook de modelcontracten die de Europese Commissie heeft opgesteld voor de doorgifte van persoonsgegevens, bieden in principe weinig bescherming tegen de bevoegdheden van Amerikaanse inlichtingendiensten. Kager reageert ontkennend op de vraag of je op basis van die standaardbepalingen zaken kan blijven doen. ‘Eigenlijk niet’, reageert hij.
De directeur van ICTRecht Privacy verschilt daarin van opvatting met onder meer Microsoft. Kager: ‘Komen data buiten de EU terecht, dan is dat alleen toegestaan wanneer men zich daar houdt aan de AVG. Als die verordening voor gegevensbescherming niet wordt nageleefd, moet de datatransfer stoppen.’ Kager zet bijvoorbeeld vraagtekens achter het gebruik van Google Analytics. Formeel gezien zouden bedrijven daarmee moeten stoppen als ze de verwerking baseren op het Privacy Shield of een modelcontract.
Maar Kager verwacht dat de soep vooralsnog niet zo heet wordt gegeten. Hij ziet dan ook geen reden tot paniek. Klanten van hyperscalers als Microsoft, Google en AWS kunnen momenteel weinig anders doen dan maatregelen van de Europese privacywaakhonden afwachten. De vraag is of en wanneer deze instanties overgaan tot handhaving.
Nieuwe onderhandelingen
De ruling van het Europese Hof van Justitie maakt nieuwe onderhandelingen tussen Amerika en de EU nodig. De Europese Commissie moet opnieuw met de regering in Washington aan tafel. Vijf jaar geleden lukte dat toen Safe Harbour als voorganger van het Privacy Shield ongeldig werd verklaard.
Een snelle toenadering zit er ditmaal niet, vreest Kager. De Verenigde Staten hebben er voor gekozen hun inlichtingendiensten vergaande bevoegdheden te geven. Die kunnen veel gemakkelijker dan in Europa grote hoeveelheden data doorploegen. In de Amerikaanse manier van denken wordt de nationale veiligheid boven de privacy gesteld. Dit heeft geleid tot uitgebreide surveillanceprogramma’s.
Cloud providers
Kager ziet een Amerikaanse GDPR niet zo snel tot stand komen. Volgens hem is het zeer de vraag of de VS bereid zijn hun wetgeving aan te passen. ‘Ik denk het eerlijk gezegd niet’, stelt hij. Kager verwacht niet dat als Trump niet wordt herkozen een andere situatie ontstaat. Sinds 9/11 hebben de Amerikanen deze lijn gevolgd. Het maakte daarbij niet uit of Bush, Obama of Trump president was.
De grote cloud providers AWS, Microsoft en Google hebben om dit probleem op te lossen al gigantische datacenters in Europa neergezet. Maar dat neemt niet weg dat deze ondernemingen nog altijd onder de Amerikaanse wetgeving vallen. Ze kunnen door Washington worden gedwongen om data af te staan. De datacenters die op Europees grondgebied staan, vallen onder de AVG. Er zijn omstandigheden denkbaar dat deze hyperscalers in een spagaat komen te staan, waarbij ze moeten kiezen tussen het voldoen aan de Europese of Amerikaanse wetgeving. Als een keuze tot hoge boetes leidt, ontstaat een zeer moeilijk spanningsveld. In theorie is het probleem opgelost wanneer ze hun hoofdkwartier naar de EU verplaatsen. Maar dat zal niet snel gebeuren.
Proportionaliteit
De Autoriteit Persoonsgegevens (AP) stelt dat, na deze uitspraak van het Hof, nu de Europese Commissie aan zet is om een nieuwe regeling op te zetten voor de doorgifte van gegevens van de EU naar de VS. De AP bekijkt ondertussen binnen de European Data Protection Board (EDPB) wat de praktische gevolgen zijn van de uitspraak. En wat eventuele vervolgstappen kunnen zijn.