Historisch vonnis: EU-landen mogen Facebook verbieden om data naar VS te versluizen

Facebook acht het "absoluut noodzakelijk" dat VS en EU oplossing vinden

Het 'safe harbor'-systeem, waarbij duizenden bedrijven data van de Europese Unie naar de Verenigde Staten versluizen, is ongeldig. Dat zegt het Europees Hof in een historische beslissing. Daardoor kunnen Europese overheden verbieden dat bedrijven als Facebook Europese privacygevoelige gegevens naar de Verenigde Staten brengen.

Bedrijven die in de EU aan de slag zijn, mogen geen persoonlijke gegevens buiten de Europese Economische Ruimte (EER) brengen, tenzij ze garanderen dat die data afdoende beschermd zijn. Binnen het 'safe harbor'-akkoord, dat 15 jaar geleden werd opgezet, kunnen Amerikaanse bedrijven zichzelf laten certificeren als ze aan de Europese databeschermingseisen voldoen. Zo kunnen ze veel eenvoudiger Europese persoonlijke gegevens ook op Amerikaanse servers opslaan. Duizenden bedrijven, waaronder socialmediagiganten als Facebook, maken gebruik van 'safe harbor'.

Maar dat akkoord garandeert die gegevensbescherming toch niet afdoende, zo zegt het Europese Hof van Justitie in Luxemburg nu. Het Hof gaf de Oostenrijkse privacyactivist Max Schrems gelijk. De Commissie ging haar boekje te buiten door de nationale toezichthouders een deel van hun bevoegdheden af te nemen, luidt het in een arrest waar aan beide zijden van de Atlantische Oceaan naar uitgekeken werd.

Nasleep van Snowden-onthullingen

Schrems' 'Europe v Facebook (EvF)'-groepering was gealarmeerd door de NSA-surveillanceonthullingen van de Amerikaanse klokkenluider Edward Snowden. De documenten die Snowden blootlegde, toonden volgens Schrems aan dat het Amerikaans recht en de praktijken van de inlichtingendiensten onvoldoende bescherming bieden tegen surveillance. De groepering spande daarom specifiek een zaak aan tegen het feit dat Facebook EU-data versluist naar de VS.

De zaak startte een paar jaar geleden in Ierland, omdat het Europese hoofdkwartier van Facebook daar gevestigd is, maar belandde vorig jaar op het bord van het Europese Hof. Omdat de 'safe harbor'-regeling nu niet meer geldt, moet de Ierse toezichthouder de klacht van Schrems grondig onderzoeken en op het einde van de rit zelf beslissen of het doorgeven van de gegevens van de Europese Facebook-gebruikers moet worden opgeschort. Het kan tot die conclusies komen als het zou oordelen dat de Verenigde Staten "geen waarborgen voor een passend niveau van bescherming bieden".

De documenten die Snowden blootlegde, toonden volgens Schrems aan dat het Amerikaans recht en de praktijken van de inlichtingendiensten onvoldoende bescherming bieden tegen surveillance

"Mijlpaal"

Schrems zelf reageert tevreden. "Dit vonnis wordt hopelijk een mijlpaal op vlak van online privacy. Het trekt een duidelijke lijn en maakt duidelijk dat massasurveillance onze fundamentele rechten schendt." Toch denkt de Oostenrijker niet dat er nu dramatische dingen gaan veranderen voor de bedrijfswereld. "Er zijn nog altijd heel wat alternatieve opties om data te transfereren tussen de EU en de VS. Het vonnis stelt dat nu nationale privacywaakhonden de datatransfers naar de VS in elk individueel geval kunnen doorlichten. Dat in tegenstelling tot safe harbor, dat daarvoor de algemene toestemming gaf."

Hij suggereert ook dat een politieke oplossing mogelijk is. "Maar een oplossing zal hoogstwaarschijnlijk wel ernstige aanpassingen in de Amerikaanse wetgevingen vereisen, in plaats van gewoon een update van het huidige 'safe harbor'-systeem."

Volgens hem zal de gewone consument geen beperkingen in zijn dagelijkse gebruik van diensten als Facebook ondervinden. "Wel zal hij hopelijk snel online diensten kunnen gebruiken zonder het doelwit te zijn van massasurveillance." Schrems alludeert wel op mogelijke zware juridische consequenties voor bedrijven als Google, Facebook of Microsoft, zeker als de privacywaakhonden van de 28 EU-lidstaten hun samenwerking met de VS zouden herbekijken.

'Dit vonnis maakt duidelijk dat massasurveillance onze fundamentele rechten schendt'

Privacy-activist Max Schrems
Max Schrems.
EPA Max Schrems.

Facebook vraagt oplossing

De Amerikaanse sociale netwerksite Facebook acht het "absoluut noodzakelijk" dat de Verenigde Staten en de Europese Unie een oplossing vinden voor het garanderen van "betrouwbare methodes voor het wettelijk doorgeven van gegevens".

"Het is absoluut noodzakelijk dat de Europese en Amerikaanse overheden verzekeren dat er betrouwbare methodes voor de wettelijke overdracht van gegevens blijven bestaan en dat ze alle vragen omtrent de nationale veiligheid oplossen", luidt de verklaring van Facebook Europa.

"Snel werk maken van alternatief"

Claude Moraes, voorzitter van de commissie voor Burgerlijke Vrijheden en Justitie in het Europees Parlement "verwelkomt" de beslissing van het Hof, dat hiermee "eindelijk luistert naar de roep van het Europese Parlement om de 'veilige havens-regeling' te schorsen omdat het niet voldoet aan het nodige beschermingsniveau, vastgelegd in de Europese wet voor databescherming".

De commissievoorzitter noemt de beschermingsregeling "inadequaat" op het vlak van bescherming van EU-burgers die gebruik maken van diensten geleverd door Amerikaanse bedrijven. Zeker in vergelijking met de "sterke, uitvoerbare wetgeving over databescherming" die van kracht is in de EU.

Moraes hekelt daarnaast het gebruik van de persoonsgegevens door de inlichtingendiensten, onthuld door klokkenluider Snowden, maar ook dat het om een niet-bindend akkoord gaat, waardoor de bedrijven niet verplicht zijn zich hieraan te houden. Het geeft aan de burgers evenmin de mogelijkheid om hun rechten te vrijwaren.

Nu moet de Europese Commissie snel werk maken van een alternatief voor het 'Safe Harbor Framework', zodat bescherming van personengegevens bij de trans-Atlantische overdracht naar Amerikaanse bedrijven verzekerd wordt volgens de EU-wetgeving, aldus Moraes. Volgens de Brit voert de Commissie hierover reeds meer dan een jaar onderhandelingen met de VS, maar voorlopig blijft het stil over de ontwikkelingen hieromtrent.

'Het Hof luistert eindelijk naar de roep van het Europese Parlement om de 'veilige havens-regeling' te schorsen'

Claude Moraes, voorzitter van de commissie voor Burgerlijke Vrijheden en Justitie in het Europees Parlement

Tommelein tevreden

Ook staatssecretaris voor Privacy Bart Tommelein is tevreden met het arrest. "Het Hof stelt terecht dat elke Europese beslissing de fundamentele grondrechten moet respecteren, waaronder het recht op privacy. Ook Amerikaans bedrijven moet zich aan onze privacyregels houden en zorgvuldig omgaan met Europese klantengegevens."

Het oordeel van het Hof moet het signaal zijn om werk te maken van een evaluatie van het 'veilige havens-principe', rekening houdend met de "Europese privacy-principes en nieuwe technologische ontwikkelingen op dat vlak", zegt Tommelein.

Maar de staatssecretaris wijst ook op het economisch belang van de regeling, waarop hij aandringt op overgangsmaatregelen. "Maar liefst 4.410 bedrijven maken er gebruik van. De EU moet daarom snel overgangsmaatregelen nemen om de continuïteit van gegevensuitwisseling tussen Europa en de VS te garanderen, maar met aandacht voor een betere bescherming van de privacy. Nationale toezichthouders moeten de bevoegdheid krijgen om onderzoek te doen naar hoe grote Amerikaanse bedrijven zoals Facebook met persoonsgegevens omgaan en hoe deze concreet worden beschermd", aldus Tommelein.

Uiteindelijk kan een strengere regelgeving de Europese werkgelegenheid ten goede komen. "Tot nog toe golden de wetten waar de persoonsgegevens bewaard worden. Door het arrest staat dit nu op de helling. Dit kan Amerikaanse bedrijven aanzetten om hun data hier op te slaan, wat op zijn beurt werkgelegenheid kan scheppen", besluit Tommelein.

BELGA