De uitspraak van het EU-Hof over Safe Harbor zou wel eens voor problemen kunnen gaan zorgen. Praktisch werkbare oplossingen vanuit het Brusselse zijn nog ver weg.
De uitspraak die het EU-Hof van Justitie vorige week deed over de doorgifte naar Amerika van persoonsgegevens door Facebook, is interessant maar niet opzienbarend.
Waar gaat het over? Op grond van Europese privacyregelgeving mogen persoonsgegevens alleen worden doorgegeven aan landen buiten de EU indien die over een zogenoemd ‘passend beschermingsniveau’ beschikken. Wat Amerika betreft is dat volgens de Europese Commissie zo indien Amerikaanse bedrijven of organisaties de ‘Safe Harbor principles’, die in belangrijke mate aansluiten op de Europese privacyregelgeving, hebben onderschreven.
Al in 2012 echter heeft de Brusselse privacywerkgroep er in een omvangrijk advies aan de Commissie op gewezen dat de Safe Harbor-afspraken hooguit een begin van ‘passende bescherming’ van persoonsgegevens bieden en dat voor een daadwerkelijke bescherming aanvullende maatregelen nodig zijn. Een Nederlands bedrijf dat bijvoorbeeld diensten uit de cloud afneemt van een Safe Harbor-gecertificeerde Amerikaanse provider, moet dus aanvullende afspraken met die provider maken wil hij als ‘verantwoordelijke’ in de zin van de Wet bescherming persoonsgegevens voldoen aan de in die wet gestelde eisen. Doet hij dat niet dan kan onze nationale privacyautoriteit het College Bescherming Persoonsgegevens boetes van vele tonnen opleggen.
Om dat te voorkomen zijn door de werkgroep zogenoemde ‘Standard Contractual Clauses’ (SCC’s) opgesteld. Worden die onverkort gebruikt, dan mogen ook persoonsgegevens aan Amerikaanse cloudleveranciers (blijven) worden verstrekt. Probleem opgelost, zou je dus denken, ware het niet dat die SCC’s zulke vergaande garanties en verplichtingen bevatten, dat geen cloudleverancier daaraan kan voldoen zonder zo ongeveer z’n complete businessmodel ingrijpend te wijzigen. Daaraan zal niet alleen voorspelbaar een fors hoger prijskaartje voor de klant komen te hangen maar bovendien zouden Amerikaanse providers die instemmen met de SCC’s, verplichtingen op zich nemen die haaks staan op hun verplichtingen naar Amerikaans recht. En die laatste, bijvoorbeeld uit hoofde van de Patriot Act, gelden vanwege het voor Amerikanen geldende territorialiteitsbeginsel evenzeer indien Amerikaanse bedrijven, zoals in dit geval Facebook Ireland, in Europa gevestigd zijn.
Niet erg, hoor ik u denken, want er zijn voldoende Europese cloudproviders die wel binnen de grenzen van de Europese privacyregelgeving opereren, die die activiteiten maar al te graag van hun Amerikaanse concurrenten overnemen. Dat laatste wil ik graag geloven want het gaat om een markt van vele tientallen miljarden euro’s. Maar de prangende vraag is dan wel of Europese providers, waaronder Nederlandse, gelet op het huidige klimaat van ruimhartig datagraaien, aftappen en wat dies meer zij, wel steeds aan diezelfde strenge privacyregelgeving (kunnen) voldoen. Mocht dat niet zo zijn, hetgeen ik zomaar vermoed, dan kan de uitspraak van het EU-Hof nog voor interessante problemen gaan zorgen. Op grond van de General Procurement Agreement (GPA), waarbij behalve de EU onder andere Amerika partij is, moeten dienstverleners uit de bij de GPA aangesloten landen die dingen naar overheidsopdrachten immers gelijk worden behandeld en dat wordt er met deze uitspraak als richtsnoer niet eenvoudiger op.
Daarbij kan ik mij, enigszins tot mijn spijt, niet geheel aan de indruk onttrekken dat het publiek gevoelige privacy-thema met name door het Europees parlement in toenemende mate mede dienstbaar wordt gemaakt aan het de facto terugdringen van de invloed van Amerikaanse bedrijven. Die invloed is met name bij dienstverlening vanuit de cloud, waarop het advies van de werkgroep betrekking had, groot en dat naar verluidt vooral vanwege de kwalitatieve voorsprong van Amerikaanse bedrijven die in dat IT-segment opereren. Zeker, het EU-Hof zal zich daaraan niet schuldig hebben willen maken, maar toch….
Al met al sluit ik niet uit dat deze uitspraak van het EU-Hof vooral voor meer problemen zal gaan zorgen en zijn we nog ver van praktisch werkbare oplossingen vanuit het Brusselse verwijderd.
Ten slotte, ik zeg het dan toch maar een keer, nog dit. Ook ik hecht aan een zorgvuldige omgang met mijn privacy en dus ook met mijn persoonsgegevens. Maar zolang die op hun verre reis naar Amerika daar, al is het maar ook, in het kader van terrorismebestrijding worden gebruikt, neem ik die nu vaststaande schending van mijn privacy graag voor lief. Om Amerikanen te citeren: privacy is een groot goed maar leven zonder angst een veel groter…..
Ruud,
Ik kan u uw ‘ten slotte’ niet ontzeggen, en het gaat natuurlijk ook niet over het onderwerp (hoewel: Safe Harbor…), maar: hoe komen die Amerikanen toch aan hun angst? Wanneer die angst de kennelijke motivatie is voor dit soort bijna draconische maatregelen, dan mogen we die angst toch ook wel kritisch onderzoeken?
Beste Geert,
Eerlijk gezegd verwondert mij die angst niet gelet op het feit dat inmiddels niet alleen het volledige World Trade Center met ruim 3000 slachtoffers is verdwenen maar ook nadien nog diverse aanslagen zijn gepleegd en gelukkig ook (mogen we de Amerikaanse autoriteiten geloven mede door informatie die men heimelijk had weten te vergaren) voorkomen. Die angst vormde de opmaat in 2002 voor de Patriot Act op basis waarvan grootschalig informatie kan worden verworven buiten het zicht van betrokkenen. Bovendien kan dat allemaal nog wat gemakkelijker zolang het niet om Amerikaanse ingezetenen gaat omdat alleen die de bescherming van het 4th amendment genieten. De Safe Harbor afspraken staan dergelijke ingrepen door Amerikaanse overheden gewoon toe maar dat wisten we allemaal al wat langer. Rest de vraag wat onder de huidige omstandigheden het zwaarst moet wegen (privacy of veiligheid) en die vraag mag iedereen voor zichzelf beantwoorden. Tenslotte: heimelijke informatievergaring is niet een specifiek Amerikaans kunstje. China, Rusland, Canada, Europa en met name Nederland kunnen er, geloof me, ook iets van…
Groet,
Ruud Leether