Skip to main content

Privacyschild II: is het nog mogelijk in een GDPR-wereld?

Met de recente GDPR-besluiten die fundamenteel een einde maken aan de manier waarop bedrijven gegevens verwerken zoals wij die kennen, wordt er nu enorm aangedrongen op een betere afstemming tussen de EU en de VS op het gebied van gegevensprivacy. Lange tijd voelden bedrijven en andere instellingen zich veilig onder Safe Harbor en Privacy Shield, maar naarmate gegevens meer handelswaar werden en de praktijk van het verzamelen en verkopen ervan lucratiever en onzichtbaarder werd, begonnen de mensen zich daarvan bewust te worden. Nu zijn we op het punt gekomen dat we nieuwe privacyovereenkomsten nodig hebben.

Iedereen wil dit, maar hoe zijn we hier gekomen en zijn we er al dichterbij?

Wat was het Privacy Shield?

In oktober 2015 heeft het Europees Hof van Justitie de internationale Safe Harbor-privacybeginselen ongeldig verklaard.

Safe Harbor, ontwikkeld tussen 1998 en 2000, was bedoeld om te voorkomen dat particuliere organisaties de persoonsgegevens van EU- en VS-burgers openbaar zouden maken of zouden kwijtraken. Na vele klachten, onder meer over gegevens van Facebook, besloot de EU dat de VS en Safe Harbor niet voldeden aan de EU-richtlijn inzake gegevensbescherming.

Dit Safe Harbor-besluit staat ook bekend als Schrems I. In een poging om de negatieve gevolgen van het ongeldig verklaren van Safe Harbor te beperken, creëerden de EU en de VS in 2016 een nieuw datakader, Privacy Shield.

Deze nieuwe overeenkomst moest een aantal tekortkomingen van Safe Harbor verhelpen, maar volgens de Europese Toezichthouder voor gegevensbescherming (EDPS) waren er nog enkele problemen met betrekking tot het wissen van gegevens, het verzamelen van enorme hoeveelheden gegevens, en het nieuwe ombudsmechanisme. Ongeacht deze punten heeft de Europese Commissie het Privacy Shield in juli 2016 goedgekeurd.

Privacyschild en Schrems II

De potentiële problemen die in 2016 werden gesignaleerd, een drastisch veranderend technologielandschap en politieke veranderingen op beide continenten, leidden tot de ondergang van het Privacy Shield in 2020.

De Oostenrijkse privacyactivist Max Schrems betoogde dat de gegevensovereenkomst niet genoeg deed om de privacy van de persoonsgegevens van EU-burgers te beschermen wanneer deze werden doorgegeven aan de VS.

Het belangrijkste punt dat het kader ten val bracht, was de massasurveillance door de VS.

"Het Privacy Shield was niet het hoofdprobleem; het probleem is dat het Privacy Shield moest wijken voor de Amerikaanse surveillancewetten," zei Schrems.

Johnny Ryan, senior fellow bij de Irish Council for Civil Liberties, voegde daaraan toe dat de problemen met het Privacy Shield en Safe Harbor nooit te maken hadden met het onderzoeken van gegevens om veiligheidsredenen, maar meer met transparante processen en wettelijke bescherming voor EU-burgers. "De belangrijkste crux is dat een rechter iemand die zich buiten de VS bevindt een wettelijke bescherming kan bieden, dat hij zijn rechten kan laten gelden als er inbreuk op zijn rechten wordt gemaakt," zei Ryan. Zonder die bescherming, en zonder een echte manier om die problemen snel op te lossen, werd het Privacy Shield in juli 2020 ongeldig verklaard, in een beslissing die nu bekend staat als Schrems II.

De toekomst van het Privacy Shield

Zonder een wettelijk kader voor de verwerking van gegevens die tussen Europa en de VS stromen, hebben landen in heel Europa veel soorten gegevensoverdracht illegaal verklaard: Oostenrijk en Google Analytics, België en IAB, Frankrijk en Google Analytics, enz. Op dit moment zijn er waarschijnlijk nog meer om aan die lijst toe te voegen.

Dergelijke gevallen maken de noodzaak van een vervangend Privacy Shield nog belangrijker - voor leiders aan beide zijden van de Atlantische Oceaan.

En dan hebben we het nog niet eens over het feit dat veel EU-landen en -agentschappen de datapraktijken van grote techbedrijven, zoals Facebook, Microsoft, Amazon en Google, nauwlettend in de gaten houden.

Sinds president Joe Biden in functie is, werkt hij aan een vervanging, samen met Ursula von der Leyen, voorzitter van de Europese Commissie, maar tot nu toe hebben deze bijeenkomsten niets opgeleverd, behalve woorden van optimisme.

Op de bijeenkomst van de Raad voor Handel en Technologie (TTC) in september 2021 boden de VS een quasi-rechterlijk toezichtmechanisme op de nationale veiligheidsagentschappen aan om voor het eind van het jaar een nieuwe overeenkomst ondertekend te krijgen, maar de deal werd niet aanvaard. Er is hoop dat de recente onderhandelingen tot een beter resultaat zullen leiden tijdens de volgende TTC-vergadering in mei 2022.

Velen hebben goede hoop dat beide partijen tot een overeenkomst kunnen komen waardoor Amerikaanse inlichtingendiensten toegang kunnen blijven houden tot de gegevens van mensen, terwijl ook de rechten van EU-burgers worden beschermd.

Een mogelijke oplossing is de oprichting van een onafhankelijk gerechtelijk orgaan dat toezicht houdt op klachten van EU-burgers die vinden dat Amerikaanse instanties onrechtmatig met hun gegevens zijn omgesprongen.

De details van dat plan - zoals de vraag hoe iemand überhaupt een klacht moet indienen, en of die klacht wel standhoudt voor de rechter - moeten nog worden afgewacht.

Maar één ding is duidelijk: welk besluit er ook wordt genomen, het zal niet in het Congres worden genomen - een feit dat elke deal om zeep zou kunnen helpen nog voor hij van start is gegaan.

Aangezien politieke overeenstemming en vooruitgang dezer dagen moeilijk te bereiken zijn, moet elke verandering die wordt doorgevoerd in overeenstemming zijn met de bestaande regels en voorschriften van de VS.

De meeste deskundigen zijn het erover eens dat significante vooruitgang moet worden geboekt door middel van wetswijzigingen in de VS die de toegang van nationale veiligheidsagentschappen tot EU-gegevens beperken en EU-burgers een duidelijke en transparante manier geven om die toegang juridisch aan te vechten bij de rechter.

Als dat niet gebeurt, hoe lang duurt het dan nog voordat we een Schrems III krijgen?