Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Advocaat-generaal van EU-Hof: Facebook mag Europese data naar VS blijven sturen

Facebook mag data van Europese gebruikers delen met de VS, adviseert de advocaat-generaal van het Europees Hof van Justitie. De voorwaarden van Facebook bieden daarvoor genoeg waarborgen, concludeert de AG in een zaak die door Max Schrems was aangespannen.

"Standaard contractuele clausules voor het verplaatsen van persoonlijke data naar verwerkers in derde landen is geldig", stelt advocaat-generaal Henrik Saugmandsgaard Øe. Hij reageert daarin op de zaak die Oostenrijker Max Schrems al jaren voert tegen Facebook. Schrems wil niet dat zijn data als Europeaan wordt uitgewisseld met de VS. Mede door Schrems' zaak werd eerder al het controversiële 'Safe Harbor'-programma stopgezet. Daar is een vervanger voor in de plaats gekomen, Privacy Shield.

Max Schrems hekelt specifiek de zogeheten 'standard contractual clauses' die in Privacy Shield zijn opgenomen. Dat zijn standaard-voorwaarden die zijn opgesteld door de Europese Unie en gegevensverwerkers, die voldoen aan de Europese privacywetgeving. Onder deze SCC's kunnen bedrijven data doorspelen naar Amerika en andere bij Privacy Shield aangesloten landen. Schrems vindt die clausules leiden tot een schending van zijn rechten. Hij vindt de waarborgen in de clausules niet goed genoeg. Zo zou het niet mogelijk zijn om bepaalde AVG-rechten in Amerika uit te voeren, zoals het inwilligen van verwijderverzoeken. De advocaat-generaal vindt dat Facebook echter wel genoeg waarborgen biedt om zich te kunnen beroepen op de clausules. Daardoor zou data gewoon aan Amerika mogen worden doorgespeeld.

Saugmandsgaard Øe zegt dat het niet aan het Hof is zich uit te spreken over de inhoud van de clausules in Privacy Shield. Het Europees Hof moet zich in dit geval alleen buigen over de vraag of de SCC's geldig zijn. De uitspraak van de advocaat-generaal is niet bindend. De definitieve uitspraak volgt pas over een paar maanden. Adviezen van de advocaat-generaal worden over het algemeen overgenomen door de rechters van het Hof.

Door Tijs Hofmans

Redacteur privacy & security

19-12-2019 • 13:18

48 Linkedin Google+

Reacties (48)

Wijzig sortering
Ellendig dat de media dit bericht verkeerd interpreteren. Hoewel wel begrijpelijk. Wat Schrems wilde, is bijna precies wat de AG heeft geadviseerd. De opinie van vandaag is een verlies voor Facebook, maar vooral voor de Ierse autoriteit (edit) gegevensbescherming. Die moet handhaven op basis van de contractuele verplichtingen (edit: SCCs) die Facebook is aangegaan bij het verzenden van persoonsgegevens naar de VS.

Als Facebook niet in staat is die contractuele verplichtingen na te leven, kan de autoriteit de verwerking blokkeren. De autoriteit betoogde dat zij dat niet kon en dat daarom alle SCCs moesten worden afgeschaft. Dat vond Schrems niet, dat vond Facebook niet en dat vindt ook de AG niet. Maar dit is geen overwinning voor Facebook - als de Ierse autoriteiten gaan handhaven, kan de verwerking van gegevens in de VS weleens onmogelijk worden voor bedrijven die onder de FISA 702 (edit) regels vallen - waaronder Facebook.

Check ook Schrems' eigen reactie, die heel blij is. https://noyb.eu/cjeu-ag-opinion-first-statement/

Edit: even een spelfout, een onduidelijkheid en een verkeerde verwijzing aangepast.

[Reactie gewijzigd door lhuizing op 20 december 2019 07:23]

Interessante aanvulling, dank!

Een interessante bijkomstigheid van deze langslepende kwestie is dat er langzamerhand vragen komen of je dit soort toezicht wel decentraal kunt regelen. Omdat redelijk wat techbedrijven voor Ierland als uitvalsbasis hebben gekozen is het dus ook de, redelijk kleine, Ierse toezichthouder die al deze zaken op hun bord krijgt. Zaken die veel werk én expertise vereisen waarvan je je kunt afvragen of het wel zo handig is om dat bij een nationale toezichthouder te plaatsen.

Bovendien speelt er hierdoor ook het risico van 'regulatory arbitrage' waarbij bedrijven hun vestigingsland opzoeken op basis van de toezichthouder met de slechtste bezetting of kennis.

Er wordt dus wel eens geopperd dat het tijd is om dit centraal te regelen. Logisch, maar tegen het zere been van sommige populistische politici die het waarschijnlijk weer "landjepik door Brussel" of zo zullen noemen. Watch this space...
Nou ik hou mijn hart vast. Als dit straks ook de uitkomst is van de definitieve uitspraak dan staat bedrijven niets in de weg om in Europa alleen een klein hoopje servers neer te plempen om aan de regels te voldoen van "kijk wij hebben een EU datacenter". Vervolgens word voor alsnog alle data doorgesluisd naar Amerika om daar opgeslagen dan wel verwerkt te worden.

Dacht dat juist het hele punt van die wetgeving was dat dát niet meer kon want zoals ik het nu zie is die wet gewoon een wassen neus. Hoop toch dat ik het gruwelijk mis heb...
Het probleem met wetgeving in het algemeen en de AVG in het bijzonder is dat er vrijwel uitsluitend nog wordt gekeken of procedures correct worden gevolgd. Internationale grootbedrijven zoals Facebook lachen daarom, zetten een afdeling Compliance op die zorgt dat ze aan de letter van de wet voldoen maar niet meer dan dat, en gebruiken de mazen om zoveel mogelijk data te verzamelen en te misbruiken.

Ja, het mag - juridisch gezien. Tegelijkertijd is het illustratief voor het schrijnende gebrek aan ethiek en moreel besef bij bedrijven zoals Facebook.
In het allerergste geval is het wachten op de eerste zaak waaruit blijkt dat bepaalde garanties van Facebook niet nageleefd worden of misschien een geval waarin Facebook weigert mee te werken aan een verwijderverzoek. Ik verwacht dat het niet heel lang zal duren voordat de eerste barstjes weer zichtbaar worden, Schrems is goed bezig en zal niet zomaar de handdoek in de ring gooien.
Er is geen handdoek om in de ring te gooien. Schrems heeft gelijk gekregen van de AG, alleen het advies wordt helemaal verkeerd begrepen. De AG zegt dat de contracten die de Europese Commissie heeft opgesteld geldig zijn (iets dat de Ierse Autoriteit betwistte). Die contracten gebruikt Facebook bij het verzenden van gegevens naar Amerika. Daarmee verplicht Facebook zich tot het beschermen van de gegevens. Als ze die belofte niet naleeft, zegt de AG, moet de Ierse autoriteit gegevensbescherming de overdracht van gegevens verbieden.

En Facebook kán die verplichtingen niet naleven, want de VS eist inzage in de gegevens op een manier die niet te verenigen is met die contracten. So much voor een "overwinning" van Facebook.
Zo is het met cloud toch ook. Bedrijven kunnen eisen dat de data alleen op EU servers komen en niet alle cloud hosters kunnen dat garanderen. Of ze zeggen van wel maar eigenlijk......
Ik zie het als kans voor Europese ICT-partijen. Ik heb al eerder klanten voorbij zien komen die hun clouddiensten van Amerikaanse tenten wilden (soms moesten) verhuizen naar Europese, dat zouden er nu zomaar ineens een stuk meer kunnen worden.
Vervolgens word voor alsnog alle data doorgesluisd naar Amerika om daar opgeslagen dan wel verwerkt te worden.

Dacht dat juist het hele punt van die wetgeving was dat dát niet meer kon want zoals ik het nu zie is die wet gewoon een wassen neus. Hoop toch dat ik het gruwelijk mis heb...
De wetgeving geeft aan dat data opgeslagen moet worden op een locatie waar het voldoen aan de AVG, of vergelijkbaar sterke privacy waarborgen, gegarandeerd is. Dat is natuurlijk het makkelijkste om te bewijzen in een land waar de AVG/GDPR ook van kracht is. Maar als jij vind dat Tibet net zo goed om gaat met privacy mag je daar data van Europeanen opslaan. Dan moet je dat uiteraard wel hard kunnen maken in een rechtzaal mocht daar om gevraagd worden. Precies om dat hard te kunnen maken hebbende EU en de VS het "Privacy Shield" verdrag (pin me niet vast op deze term) opgesteld. Om in een rechtzaal te kunnen aangeven dat data verwerkt onder Privacy Shield voldoende waarborgen heeft om uitgewisseld te worden.

Dat Max Schrems het niet eens is dat Privacy Shield voldoende waarborgen biedt is waar dit bericht over gaat, maar tot hij zijn gelijk heeft gehaald mag het dus wel.
De kop is niet de uitspraak van de rechter. Het liefst zie ik ook dat er zo min mogelijk naar de VS doorgesluisd word. Maar, met of zonder uitspraak geloof ik ze toch niet. Dus zo min mogelijk via het net versturen is het veiligste. Een dossier over iemand vol met eigen interpretaties is zo in elkaar geflanst. Criminelen zorgen wel buiten het zicht te blijven. Die hebben hun eigen wegen via het net!
Voor de liefhebbers onder ons, die wel eens precies willen weten hou het uitwisselen van data tussen te EU & US precies zit, bij deze:
The Privacy Shield = een .pdf bestand, genaamd:
The Privacy Shield - Update on the state of play of the EU-US data transfer rules
En betreft een zogenaamde In-depth Analysis

Volledige link:
http://www.europarl.europ...RS_IDA(2018)625151_EN.pdf
:)

[Reactie gewijzigd door SSDtje op 20 december 2019 20:08]

Kijk eens aan, inmiddels gefixt.
;)
Ik weet niet wat je fout doet (Google Amp?) maar, nee, nog steeds een Google link.
Moets het eerder vandaag vanaf mijn tel doen, dus denk dat het daar mee te maken heeft gehad, maar moet nu dan ook daadwerkelijk werken, type dit nu inmiddels vanachter mijn PC namelijk.
;)
Niet bindend, maar een advies.. hoeveel zal die ervoor gekregen hebben om dit te zeggen?

Het blijft ergens wel humor, ene kant gillen ze moord en brand dat er een compleet eigen EU infrastructuur moet komen om niet afhankelijk te zijn van andere delen, eigen innovaties van ontwikkelingen, maar ondertussen boeit het verder blijkbaar weinig dat de data zelf wel gewoon doorgesluisd wordt richting USA, welke op zijn beurt vrij spel vanuit de overheid heeft om al deze data in te zien en gebruiken.. nee, 'genoeg waarborging' toch?
De EU bestaat niet uit één persoon maar uit een half miljard personen. Die kunnen dus een half miljard verschillende meningen hebben.

Dat Henrik Saugmansgaard Øe dit adviseert vanuit zijn functie als advocaat generaal (dus gebaseerd op juridische gronden, best kans dat hij Facebook persoonlijk niet vertrouwd) wil niet zeggen dat er onder de half miljard mensen in de EU niet andere ideeën bestaan. Een hele reeks politici (Saugmansgaard Øe is geen politicus) en ambtenaren in verscheidende officiële lichamen en niveaus hebben hele andere ideeën en zien Facebook liever gaan dan komen. Maar, tenzij je er regelgeving doorheen krijgt die Facebook simpelweg verbiedt en die regelgeving ook nog de onvermijdelijke rechtszaken kan doorstaan, is het een complex probleem om op te lossen.

Voorlopig is het eerst wachten op de uitspraak van het Hof (dit is maar een advies) en de redenering achter het toestaan. Die redenering kan cruciaal zijn voor de volgende stappen. Toen hetzelfde Hof destijds het Safe Harbour principe onderuit haalde was dat niet zo spraakmakend. Dat ze dat deed op basis van het Handvest van de grondrechten van de Europese Unie (waar iedere EU Burger een hoop rechten aan ontleend) was wél spraakmakend. Daarmee werd Safe Harbour onhoudbaar aangezien het Handvest boven alles gaat. Er kon dus niet simpelweg een wetswijziging plaatsvinden, alles moest op de schop om binnen de grenzen van het Handvest te blijven.

Kortom, afwachten wat het Hof oordeelt. Kijken wat de redenering is. Zoeken naar zwakke plekken in de redenering of in het handelen door Facebook en we kunnen een volgende stap zetten.

[Reactie gewijzigd door Maurits van Baerle op 19 december 2019 13:49]

Waarom ga je er van uit dat hij geld gekregen heeft? Hij kijkt gewoon naar de huidige wetgeving en geeft een advies of FB daaraan voldoet.
Sommigen gaan er nu eenmaal van uit dat wanneer een rechter, met gedegen juridische kennis, iets zegt dat tegen hun eigen onderbuikgevoel in gaat, die rechter wel corrupt moet zijn.
Als ik het goed begrijp stelt de rechter hier dat hij niet over de inhoud van de SCCs kan oordelen, maar dat de wet stelt dat als een bedrijf daaraan voldoet de gegevens door gestuurd mogen worden.
En volgens mij klopt dat ook gewoon, Schrems zegt dat de SCCs niet voldoende waarborgen bieden, maar de rechter kan de inhoud van de SCCs niet beoordelen, enkel dat aan de wet wordt voldaan.
Niet bindend, maar een advies.. hoeveel zal die ervoor gekregen hebben om dit te zeggen?
Wie, de advocaat-generaal? Die krijgt gewoon betaald voor zijn diensten en de procedure is gewoon dat de rechter uiteindelijk besluit. Zoals het er ook al staat: 'Adviezen van de advocaat-generaal worden over het algemeen overgenomen door de rechters van het Hof.'
Is dit dezelfde die oordeelde dat wij in Nederland onze eigen wet ten opzichte van downloaden verkeerd interpreteerden?

Daar buiten dacht ik ook dat het speerpunt van de Europese regelgeving was dat dat hier in Europa zou moeten worden opgeslagen?

[Reactie gewijzigd door spartaan1986 op 19 december 2019 13:34]

En dus volledig toegankelijk voor de Amerikaanse overheid en hun vrienden. Want zo is de wet daar.
En dus volledig toegankelijk voor de Amerikaanse overheid en hun vrienden. Want zo is de wet daar.
Volgens welke Amerikaanse wet mag de overheid daar grasduinen in de data van een bedrijf zoals Facebook?
Patriot Act. In het kader van terrorismebestrijding mogen Amerikaanse veiligheidsdiensten (CIA/FBI/NSA) naar eigen goeddunken zonder gerechtelijk bevel data opeisen bij Amerikaanse bedrijven.
Idd, de privacy van niet-Amerikanen wordt daar volledig niet gegarandeerd.
Het werkt toch net even iets anders.

Amerikaanse veiligheidsdiensten kunnen bedrijven dwingen alle gegevens van bepaalde gebruikers af te geven, die zich op de servers van dat bedrijf of gelieerde bedrijven bevinden, waar die servers zich ter wereld ook bevinden.
Daar is zeker wel een gerechtelijk bevel voor nodig. Dat dat gerechtelijk bevel in het geheim aangevraagd en afgegeven kan worden door een speciale rechtbank maakt het wel allemaal erg ondoorzichtig. De verhalen gaan dat de rechters van die special e rechtbank wel erg gewillig zijn, maar er moet moet toch wel enige aanwijzing zijn van betrokkenheid bij terrorisme (hoe dun ook). Er wordt geen bevel afgegeven puur omdat de kleur van je ogen ze niet aan staat, laat staan dat de veiligheidsdiensten naar eigen goeddunken alles kunnen bekijken wat er bij Amerikaanse bedrijven aan data is opgeslagen.
Hoe het ook werkt, ergens in de VS zijn er mannetjes in achterkamers die dus kunnen besluiten jouw digitale leven compleet door te spitten terwijl de EU netjes "ja" knikt. Waarom zou ik als Europeaan moeten vertrouwen op hun debiele proces?
Het maakt m.i. twee zaken nog belangrijker.
Ten eerste dat je je data op geen enkele wijze vrijwillig aan Facebook moet geven en ten tweede dat end-to-end encryptie niet verzwakt mag worden, ook niet (of juist niet) met een 'achterdeur'.
Je bedoelt op dezelfde manier waarop de Nederlandse overheid, met de juiste gerechtelijke bevelen, toegang kan krijgen tot data van Nederlandse bedrijven?
Het is niet zo dat iedere willekeurige Amerikaanse ambtenaar inzage heeft in Facebook-gegevens...
Maakt niet uit of de data in de EU of de VS staat hoor. Van zodra een bedrijf ook maar enige band met de VS heeft vindt de VS dat ze recht hebben op toegang tot alle data, waar ook ter wereld.
Voor de Amerikaanse overheid maakt het niet uit waar de data zich bevind. Volgens hun wetten kunnen ze gegevens opeisen, ongeacht waar de data opgeslagen is.

En voor commercieel gebruik is Facebook nog steeds gebonden aan de Europese regelgeving.
Het zou alleen nog kunnen zijn dat de Privacy Shield afspraken nog loopholes bieden, maar dat heeft dan geen betrekking op de Amerikaanse overheid.
Als de data eenmaal is doorgespeeld, dan blijft het dus ook daar. Een verwijderingsverzoek heeft geen nut, want dat is geen recht op basis van die Europese standaardvoorwaarden. Dat lijkt mij een prima reden om een alternatief binnen de EU te hebben. Als EU-rechten worden aangepast aan de normen van die tijd, dan moet een EU-onderneming zich wel aanpassen, met inbegrip van alle data. Het is de vraag wat Facebook doet met oude data indien de rechten in het voordeel van de burger vallen. Verwijderen waarschijnlijk niet.
Beste Thijs Hofmans, deze zin klopt echt niet: "Max Schrems hekelt specifiek de zogeheten 'standard contractual clauses' die in Privacy Shield zijn opgenomen." De SCCs zijn een alternatief voor een adequacy decision (Privacy Shield). Ze staan naast elkaar. Je hebt ook nog Binding Corporate Rules (BCRs) die je binnen een bedrijf kan gebruiken. En nog wat alternatieven staan in de AVG. Maar SCCs zijn niet opgenomen in Privacy Shield. Ze zijn apart gepubliceerd door de Europese Commissie op basis van de oude Richtlijn.
Zo ingewikkeld is het niet: als het je niet bevalt dan gebruik je geen Facebook meer.
Het is geen eerste levensbehoefte
En jij denkt dat het niet gebruiken van Facebook iets verandert aan de hoeveelheid data dat Facebook van u steelt?
Ooit gehoord van ghost profiles? Tracking pixels?
We kunnen met zijn allen een begin maken en er mee stoppen, zelf heb ik inmiddels anderhalf jaar geen facebook meer. Het zou inderdaad naief zijn om te denken dat facebook dan geen informstie meer verzamelt. Het zou toch een stap in de goede richting zijn om het te boycotten. Maar de gemiddelde facebook gebruiker interesseert het vrij weinig volgens mij.
Vroeger was Facebook best oke, althans dat was mijn ervaring. Tegenwoordig vind ik Facebook als organisatie niet zo prettig. Als Facebook de GDPR/AVG integraal zou overnemen in de bedrijfsvoering, dan zou Facebook mijn verwijderingsverzoek moeten respecteren en moeten uitvoeren. Bij spijt kan ik dus weg bij een organisatie en mijn gegevens laten verwijderen.

Nu is dat niet het geval. Nu kan ik weg, maar mijn data blijft daar. Nu ben ik geen advocaat, maar mijn gevoel zegt dat deze onzekerheid er niet zou zijn als Facebook 100% Europees zou zijn.

[Reactie gewijzigd door dilasaba op 19 december 2019 13:54]

Is het ook mogelijk om wel je data met de US gedeeld te krijgen, bijvoorbeeld door dit apart aan te geven?
Persoonlijk zit ik namelijk niet zo te wachten om achter te lopen in dit primitieve EU en wil ik maar wat graag dat ze m'n data wel gebruiken.

Of ben ik nu digitaal gevangen binnen het oh zo vrije EU?
Emigratie blijft altijd een mogelijkheid. ;)
Doen we dan ook met plezier =D
Op het moment dat de relatie tussen de USA en EU lidstaten goed is kan misbruik van patriot act misschien nog wel mee vallen. Maar als de relatie ernstig verslechterd denken we dat onze data in een ander land dan nog veilig is en netjes met privacy wordt omgegaan. Denk even terug aan geschiedenis toen de Duitsers in de 2e wereld oorlog de Nederlandse bevolkings administratie in handen hadden gebruikten ze dat om de joden in ons land te vinden. Data is niet zomaar even terug te halen uit een ander land als de landen ineens ruzie krijgen. Ruzie hoeft niet meteen oorlog te zijn maar om ons land even als voorbeeld te nemen de USA hekelt ons land over het feit dat we momenteel voor grote bedrijven een belangrijk belasting paradijs zijn. Dus zouden de rechters in de achterkamers in de USA die dat een big deal vinden missschien wel makelijker een bevel ondertekenen als het om gegevens van Nederlanders gaat. Hoe slechter de relatie des te makkelijker zal een beslissing worden.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True