De doorgifte van data naar het Verenigd Koninkrijk (VK) wordt voorlopig niet stopgezet. Het komende halfjaar blijft alles bij het oude. Ook daarna kan het goed gaan. De Europese privacywetgeving lijkt vrij goed vergelijkbaar met die in het VK. Maar er schuilt een lelijk addertje onder het gras.
Het addertje onder het gras betreft de bevoegdheden die inlichtingen- en opsporingsdiensten hebben om in dataverzamelingen te grasduinen. Net zoals bij de Privacy Shield-overeenkomst tussen de EU en Amerika, kunnen deze bevoegdheden roet in het eten gooien. Als die surveillancepraktijken in de ogen van EU te ver gaan, is het gedaan met vrije uitwisseling van data met de Britten. Gegevens zullen dan niet meer ongehinderd over de grens stromen.
Alex van der Wolk, partner bij het internationale advocatenkantoor Morrison & Foerster in Brussel, wijst op dit gevaar als gevolg van de brexit-deal. Cruciaal wordt het oordeel van de Europese Commissie over de opsporingsbevoegdheden van Britse veiligheidsdiensten, zoals MI5 en MI6. De advocaat waagt zich niet aan een voorspelling over de uitslag hiervan. Zo’n prognose is lastig, doordat de Britse tegenhanger van de Wet op de inlichtingen- en veiligheidsdiensten nooit is getoetst aan de Algemene verordening gegevensbescherming (AVG).
Privacy Shield
De vraag of er in de Britse ‘sleepwet’ voldoende waarborgen zitten voor de privacy, kan pas na uitvoerig onderzoek worden beantwoord. Volgens Van der Wolk moet de Europese Commissie dit punt wel uitvoerig bekijken. Door de uitspraak van het Europees Hof van Justitie kan de Europese Commissie hier geen oogje dicht knijpen. Het EU-VS Privacy Shield, waarvoor de Commissie verantwoordelijk was, deugde in de ogen van het Hof niet. Reden was dat de Amerikaanse inlichtingendiensten aan te weinig privacyregels zijn gebonden en veel vrijheid hebben in databanken te snuffelen.
Volgens Van der Wolk betekent het vonnis van Europa’s hoogste rechtsorgaan over het Privacy Shield dat de Europese Commissie op de vingers is getikt. De Commissie kan zich geen nieuwe uitglijder permitteren. Bij het onderzoek van het Europees Hof in de zaak-Schrems II ging het uitsluitend over de deal tussen de EU en de VS om de doorgifte van persoonsgegevens naar de VS te borgen. Daarom is uitsluitend naar Amerika en niet naar landen binnen de EU gekeken.
Adequaatheidsbesluit
De rol van inlichtingendiensten binnen de EU-lidstaten bleef dus buiten beschouwing, doordat deze voor Schrems II niet relevant was. Maar de nieuwe afspraken die vanaf 1 januari tussen de EU en het VK, nopen wel tot een oordeel. Van der Wolk: ‘Het probleem dat de EU met de macht van de Amerikaanse opsporingsdiensten had, kan ook gaan spelen met het Verenigd Koninkrijk. Het zou zomaar kunnen dat de Britse surveillance-wetgeving een adequaatheidsbesluit tegenhoudt.’ Dan ontstaat een situatie dat de Britse dataregels wel vergelijkbaar worden geacht, maar de positie van de Britse opsporingsdiensten een struikelblok vormt.
Van der Wolk ziet verder weinig beren op de weg als het om de gegevensbescherming gaat. De Britten hebben tijdens hun jarenlange lidmaatschap van de EU de regelgeving altijd goed nageleefd. De AVG gold ook in het VK. Bovendien zijn de Britten niet van plan op gebied van privacy veranderingen aan te brengen. Van der Wolk hoopt innig dat zo’n adequaatheidsbesluit er snel komt. Het zou immers enorm veel administratief werk betekenen als met het VK niet meer gewoon data kunnen worden uitgewisseld.
Andere landen
Of zo’n adequaatheidsbesluit er snel komt, valt te betwijfelen. De overgangsperiode waarin data vrijelijk met het VK kunnen worden uitgewisseld, duurt slechts vier maanden met een optie tot verlenging van twee maanden. Voor andere landen buiten de EU, waaronder Israël en Japan, heeft de Europese Commissie soortgelijke besluiten genomen.
Het duurde soms wel vijf jaar voordat de Commissie ervan overtuigd was dat die landen een passend beschermingsniveau van de verwerking van persoonsgegevens bieden. Van der Wolk: ‘Zes maanden is dan wel heel kort.’ Bovendien werd bij die beoordelingen destijds vooral gekeken naar de privacywetgeving en niet naar de veiligheidsdiensten, althans niet op de manier zoals het Hof dat graag zou zien.
Modelcontracten
Heel lastig wordt het als de Europese Commissie tot een negatief oordeel komt. De doorgifte van data kan onmogelijk stoppen. Van der Wolk hoopt dat de EU dan met praktische oplossingen komt. Bedrijven mogen wat dat betreft niet aan hun lot worden overgelaten.
Modelcontracten (standard contractual clauses) bieden een uitweg. Maar die vereisen wel wat werk om te implementeren. Bedrijven moeten feitelijk beschrijven wat voor data naar het VK gaan en voor welke doeleinden. Vooral voor bedrijven met meerdere leveranciers in het VK kan dat een hoop werk opleveren.
Bedrijven moeten namelijk toetsen hoe de Britse wetgeving hen raakt. Ze dienen te onderzoeken of die wetgeving geen afbreuk doet aan de privacybescherming via die modelcontracten. Hieraan zitten veel haken en ogen. Voor dataoverdracht binnen organisaties bieden de Binding Corporate Rules (BCR’s) uitkomst. In Nederland hebben onder meer ABN Amro, ADP, Rabo, Philips, Shell, Cisco, ING en Unilever een BCR. In België beschikken Adient, UCB, MasterCard en MSD daarover. Internationaal hebben bijvoorbeeld HP, Intel, Oracle en Salesforce zulke regels.