Opnieuw heeft de Oostenrijkse privacy-activist Max Schrems deze maand een overwinning behaald. Het Europees Hof van Justitie (EHJ) heeft het Privacy Shield, de overeenkomst over gegevensbescherming tussen de Europese Commissie en de VS, onwettig verklaard. Net als voorganger Safe Harbor (onwettig verklaard in 2015) is de overeenkomst nu dus verleden tijd. Beide uitspraken volgden op een door Schrems aangespannen rechtszaak tegen Facebook.
De uitspraak in de zaak Schrems vs. Facebook is een groot succes voor Europese gegevensbeschermers in de strijd tegen het door hen kritisch bekeken Privacy Shield. De beslissing van de rechtbank heeft de uitwisseling van persoonsgegevens aan de VS een belangrijke wettelijke basis ontnomen. Dat wordt gezien als een duidelijke overwinning voor de bescherming van de persoonsgegevens van EU-burgers.
Kritiek op het Privacy Shield
Vanuit verschillende hoeken werd al langere tijd kritiek geuit op het Privacy Shield. De ongehinderde gegevensoverdracht naar de VS heeft veel tegenstanders, ook EU-beleidsmakers. Vanaf de eerste dag was het grootste kritiekpunt op het Privacy Shield dat de VS kon toegrijpen op een ongefilterde stroom aan bedrijfs- en veiligheidsinformatie. Daardoor konden Amerikaanse autoriteiten – zoals bijvoorbeeld de NSA – de strenge Europese richtlijnen voor gegevensbescherming mede door haar nationale wetten omzeilen.
Wat er precies met de informatie gebeurt, weet niemand zeker. Maar tegenstanders van het Privacy Shield wijzen vaak op de Clarifying Lawful Use of Overseas Data (CLOUD) Act. Deze CLOUD Act is sinds 2018 van kracht in de Verenigde Staten. Amerikaanse aanbieders van elektronische communicatiediensten worden door deze wet verplicht om gegevens die via hun diensten worden verstuurd te bewaren. Wanneer de Amerikaanse overheid hen erom vraagt, moeten ze de gegevens afstaan. Critici stellen dat de gegevens van Europese burgers, instituten, overheden en bedrijven, ondanks de wettelijke basis voor de Amerikaanse bedrijven, onvoldoende beschermd zijn binnen het Privacy Shield. In vergelijking met de Europese AVG (GDPR) een duidelijke no-go!
Bescherming EU-burgers
De rechtszaak van Schrems ging niet alleen over het Privacy Shield en Facebook. Het ging ook over de clausules in standaardcontracten van de EU inzake gegevensbescherming, waar Facebook al enige tijd gebruik van maakte. En over de verantwoordelijkheid van de Ierse autoriteit voor gegevensbescherming, die toezicht houdt op het Europese hoofdkwartier van de technologiegigant.
Het Europese hof gaf de Ierse gegevensbeschermingsautoriteit een berisping. Hoewel de clausules in standaardcontracten mogen bestaan, moeten de bevoegde autoriteiten beter kijken naar wat er met de gegevens gebeurt. Als er onregelmatigheden zijn in de overdracht van gegevens, moeten ze vervolgens de teugels aanhalen. Dit betekent dat de autoriteiten voor gegevensbescherming van de EU-lidstaten meer verantwoording moeten afleggen en dat ook hun verantwoordelijkheid ten opzichte van alle EU-burgers zal toenemen.
Amerikaanse bedrijven onder druk
‘Het is duidelijk dat de VS hun toezichtwetgeving ernstig moet wijzigen als de Amerikaanse bedrijven een rol willen blijven spelen op de EU-markt’, aldus Schrems kort na de uitspraak. Dit zijn duidelijke woorden, maar het is vooral belangrijk dat de EU de bestaande wetgeving moet handhaven en mazen in de wet moet voorkomen. Met name de lokale autoriteiten voor gegevensbescherming moeten hun verantwoordelijkheid nemen en hier in de toekomst veel beter op toezien. Het komt erop neer dat de uitspraak veel Amerikaanse bedrijven onder druk zet en veel juridische onzekerheid schept voor particuliere gebruikers en ook voor bedrijven, instituten en overheden binnen de EU.
De uitspraak toont opnieuw aan – net als in oktober 2015 – dat iedereen die de bescherming van zijn of haar gegevens wil waarborgen, beter kan vertrouwen op Europese aanbieders, met lokale opslag van gegevens. Daarmee voorkom je dat je in de problemen komt met de wetgeving op het gebied van gegevensbescherming. Dit geldt zowel voor commerciële bedrijven als voor de overheid en talloze openbare en particuliere instituten – en recentelijk vooral voor het onderwijssysteem. Juist daar is de vraag naar cloud-oplossingen voor bijvoorbeeld het beheer van het schoolnetwerk of online conferenties namelijk sterk in opkomst.
Vaak wordt gekeken naar Amerikaanse oplossingen, met de daar beheerde clouds. Want ook een datacenter in Europa, maar in eigendom van een Amerikaans bedrijf, blijft onder het Amerikaanse toezichtwetgeving vallen. De schoolautoriteiten – en ook andere besluitvormers – zouden er goed aan doen om ook gegevensbescherming mee te nemen bij de keuze van hun fabrikanten en aanbieders.