Gaat Meta Instagram, Facebook en WhatsApp weghalen uit Europa? En worden Chromebooks en Google Workspace geweerd in Europese scholen? Zo'n vaart zal het niet meteen lopen, Meta zal een gedwongen vertrek omwille van de datadoorgiften niet zomaar accepteren en de ban op Chromebooks speelt momenteel alleen nog in Denemarken.
Duidelijk is wel dat de druk toeneemt op bedrijven die data vanuit de EU naar de VS willen overhevelen. Recent heeft de Data Protection Commission een duit in het zakje gedaan. Deze Ierse toezichthouder heeft een nog niet definitief geaccepteerd conceptonderzoek afgerond waarmee Meta gedwongen kan worden te stoppen met deze datadoorgifte. Data doorsluizen vanuit de Europese Unie naar de Verenigde Staten lijkt steeds heikeler te worden.
/i/2005253068.png?f=imagenormal)
De onzekerheid blijft waarschijnlijk nog even bestaan dankzij een juridisch vacuüm op dit terrein. In 2020 werd de Privacy Shield-overeenkomst, die de basis vormt voor trans-Atlantische datastromen, afgeschoten door het Europese Hof van Justitie. Dit maakt dat bedrijven niet meer zomaar legaal gegevens kunnen doorgeven van de EU naar de VS en dat de rol van toezichthouders nog belangrijker is geworden.
Er komt een nieuwe regeling aan, maar dat kan nog even duren en of die een einde kan maken aan alle onzekerheid en rechtszaken, is nog maar de vraag. Wat weten we eigenlijk van de recente stap van de DPC, wat is nu precies de situatie en hoe zit het met de dreigementen van Meta en de stap in Denemarken?
Hoe zat het ook alweer met Privacy Shield?
Het draait hier om de juridische basis van de legale doorgifte van persoonsgegevens vanuit de EU naar de VS en de vraag of er sprake is van een adequate gegevensbescherming. Daartoe is in het verleden de Safe Harbour-overeenkomst tussen de VS en de EU gesloten, de voorloper van Privacy Shield. Op grond van deze overeenkomst was een legale doorgifte van deze data van de EU naar de VS mogelijk.
De Oostenrijker Max Schrems was daar echter niet blij mee. Hij vond dat Facebook-gegevens in de VS niet in goede handen waren en dat het bedrijf de Europese privacyregels schond. Daarbij verwees hij onder meer naar de onthullingen van Edward Snowden. Ook stipte hij aan dat de Amerikaanse overheid in de vorm van inlichtingendienst NSA op grote schaal toegang had tot gebruikersgegevens. Hij diende een klacht in bij de Ierse DPC in 2013. Uiteindelijk deed het Hof van Justitie uitspraak en haalde een streep door Safe Harbour.
Het juridische vacuüm moest gevuld worden en dat gebeurde in 2016 met de intrede van Privacy Shield. Er werden de nodige zaken aangepast en aangescherpt met als doel het verbeteren van de databescherming en de verhaalmogelijkheden. Toch bleef er kritiek. Bulkverzameling door de Amerikaanse overheid bleef mogelijk en de databeschermingsprincipes konden opzij worden gezet op grond van de nationale veiligheid. Kortom, de bescherming voor EU-burgers werd weer als onvoldoende beoordeeld. En dus volgde een tweede Schrems-rechtszaak. Het Hof van Justitie haalde ook in juli 2020 een streep door Privacy Shield.
Dat betekent echter niet dat er sinds 2020 geen datadoorgifte meer kan plaatsvinden. Het middel van de standaard contractuele clausules of scc's is er nog. Partijen moeten dan met elke datapartner een apart contract tekenen, waarbij de verwerker zich verplicht om op een bepaalde manier met de persoonsgegevens om te gaan. Zo wordt min of meer hetzelfde bereikt als de Privacy Shield-overeenkomst, omdat er via scc's ook een juridische grond voor de doorgifte van persoonsgegevens wordt gecreëerd.
Ook dit middel staat onder druk. Een contract tekenen betekent nog niet dat er automatisch sprake is van een rechtmatige doorgifte. Het Hof van Justitie bepaalde eerder dat dit afhangt van de omstandigheden per geval, waarbij vooral gelet wordt op de vraag of er effectieve mechanismen zijn om te kunnen voldoen aan de door de EU gewenste mate van databescherming. De Amerikaanse surveillancewetgeving kan daar haaks op staan en dat maakt dat toezichthouders wellicht in actie moeten komen.
Data Protection Commission trekt de teugels aan
Zoek op de website van de Ierse toezichthouder naar een recent besluit over Meta en je vindt niets. Het betreft een conceptbesluit waar Politico als eerste over publiceerde. De DPC had een aantal journalisten bericht over haar intentie om Meta niet langer toe te staan om data over te hevelen vanuit de EU naar de VS. Het is een nog niet definitief besluit waar op grond van artikel 60 van de GDPR de DPC als leidende autoriteit consensus over moet bereiken met de andere toezichthouders in de EU.
Op grond van dit artikel hebben de andere toezichthouders vier weken de tijd om te reageren op het conceptbesluit. Vervolgens moet er gezamenlijk gestemd worden over het besluit. Dit besluit van de DPC betreft een procedure op eigen initiatief die parallel loopt aan de originele klacht van Max Schrems. Deze originele klacht stamt van negen jaar geleden en daar is nog geen conceptbesluit over genomen.
Schrems, de Oostenrijkse privacyvoorvechter die achter de rechtszaken zat waarmee Privacy Shield en Safe Harbour van tafel werden geveegd, verwacht dat er toezichthouders zijn die bezwaren zullen uiten, omdat bepaalde grote issues niet behandeld zouden zijn in het conceptbesluit van de DPC. Hij stelt dat er dan waarschijnlijk weer een nieuw conceptbesluit zal volgen waar dan ook weer over gestemd moet worden. "In andere zaken nam dit proces een jaar in beslag, omdat de DPC commentaren van andere databeschermingstoezichthouders niet vrijwillig implementeerde waardoor het meer dan een half jaar duurde om tot een stemming te komen."
Dit huidige conceptbesluit vindt zijn oorsprong in een eerder conceptbesluit uit augustus 2020. Toen concludeerde de DPC al dat Meta's afhankelijkheid van scc's niet in lijn was met de GDPR en dat dit middel, en dus de datatransfers tussen de EU en de VS, moet worden gestaakt. De DPC heeft dit besluit nu bekrachtigd, al is het dus nog de vraag wat de overige toezichthouders ervan vinden.
Een dag later schreef Meta een blogbericht om duidelijk te maken dat het 'absoluut niet dreigt om Europa te verlaten'
Meta ziet de bui al langer hangen en schreef eerder dit jaar het volgende in een jaarrapport: "Als er geen nieuw transatlantisch kader voor gegevensoverdracht wordt aangenomen en we niet kunnen blijven vertrouwen op scc's of andere alternatieve manieren voor gegevensoverdracht van Europa naar de Verenigde Staten, zullen we waarschijnlijk een aantal van onze belangrijkste producten en diensten niet kunnen aanbieden in Europa, waaronder Facebook en Instagram." Het klonk een een beetje als een verkapt dreigement om dit soort diensten te staken in Europa. Dit kon rekenen op enig hoongelach vanuit Duitsland en Frankrijk. Twee ministers uit beide landen zeiden het prima te vinden als Facebook niet meer aanwezig is in Europa. Een dag later schreef Meta een blogbericht om duidelijk te maken dat het 'absoluut niet dreigt om Europa te verlaten' en ook niet die wens heeft.
Google op de korrel
Niet alleen Meta wordt op de korrel genomen. Zo heeft de Deense databeschermingsautoriteit Datatilsynet recent een besluit genomen waarmee het gebruik van Google Workspace en Chromebooks in scholen wordt verboden. Daarmee is het einde oefening voor Google-diensten in Deense scholen. Althans, het besluit richt zich specifiek op een bepaalde regio in Denemarken. Scholen in deze regio hebben tot 3 augustus om gebruikersdata te verwijderen, maar Datatilsynet heeft in zijn besluit al laten weten dat de conclusies waarschijnlijk ook van toepassing zijn voor andere regio's in het land. Het lijkt dus een verkapt landelijk verbod.
De Deense toezichthouder komt tot dit besluit door de vaststelling dat het verwerken van de persoonsgegevens in meerdere opzichten niet voldoet aan de GDPR. Er wordt vooral aangestipt dat de bewuste regio niet de specifieke risico's van de datasverwerkingsstructuur heeft afgewogen en dat de data naar derde landen mag worden gestuurd als er behoefte is aan ondersteuning. Volgens de toezichthouder gaat dat laatste zonder de benodigde mate van beveiliging.
Er is wel bepaald dat de data alleen in datacenters binnen de EU mag worden opgeslagen, maar dat in het geval van support toch sprake zal zijn van toegang vanuit de VS. Dit maakt dat er een risico bestaat dat persoonsgegevens van leerlingen en docenten 'worden doorgegeven aan onveilige derde landen zonder noodzakelijke overdrachtsgrondslag en zonder ervoor te zorgen dat het derde land in kwestie gelijkwaardige gegevensbeschermingsrechten als in andere EU-landen garandeert'. Deze conclusie komt duidelijk voort uit de situatie waarin Privacy Shield is getorpedeerd en er met steeds meer argwaan wordt gekeken naar de datadoorgiften naar de VS.
/i/2005253070.png?f=imagenormal)
Google gaf in deze Deense zaak de volgende reactie tegenover TechCrunch: "We weten dat studenten en scholen verwachten dat de technologie die ze gebruiken wettelijk conform, verantwoord en veilig is. Daarom heeft Google jarenlang geïnvesteerd in best practices op het gebied van privacy en zorgvuldige risicobeoordelingen en onze documentatie algemeen beschikbaar gemaakt, zodat iedereen kan zien hoe we organisaties helpen om te voldoen aan de GDPR. Scholen zijn eigenaar van hun eigen data. We verwerken hun gegevens alleen in overeenstemming met onze contracten met hen. In Workspace for Education worden de gegevens van leerlingen nooit gebruikt voor reclame of andere commerciële doeleinden. Onafhankelijke organisaties hebben onze diensten gecontroleerd en we houden onze praktijken voortdurend in de gaten om de hoogst mogelijke veiligheids- en nalevingsnormen te handhaven."
Deze zaak staat niet op zich. Eerder hebben de datatoezichthouders van Oostenrijk, Noorwegen, Italië en Frankrijk op vergelijkbare gronden geoordeeld dat websites die Google Analystics gebruiken om bezoekers te tracken in strijd handelen met Europese privacyregels. Dat betekent niet meteen dat de analysetool op zichzelf verboden wordt; het is vooral gericht op de websites die het implementeren en het betreft vooral de datadoorgifte naar de VS. Deze uitkomsten in de verschillende Europese landen hebben niet direct gevolgen voor alle Europese landen, omdat eigenlijk elke toezichthouder zijn eigen onderzoek moet afronden en eigen conclusies moet trekken. Omdat de toezichthouders tot hun conclusies komen op basis van de GDPR die overal in de EU hetzelfde is, is de lijn duidelijk.
Slot
Hoe snel het in specifiek deze zaak tegen Meta gaat, is moeilijk te zeggen. Mede omdat het verbod verstrekkende gevolgen kan hebben in de vorm van een vertrek van Facebook, Instagram en WhatsApp uit Europa, is de kans groot dat dit proces zich nog veel maanden zal voortslepen. En als er met enige voortvarendheid een verbodsbesluit wordt aangenomen, zal dat nog niet meteen einde oefening voor deze diensten in Europa betekenen. "Facebook zal het Ierse rechtssysteem gebruiken om een daadwerkelijk verbod op gegevensoverdrachten uit te stellen", zegt Schrems op zijn'Je zou de indruk kunnen krijgen dat de DPC deze zaak gewoon keer op keer in cirkels wil laten draaien'
blog. "Ierland zal de politie moeten sturen om de kabels fysiek door te snijden voordat deze overdrachten daadwerkelijk stoppen. Wat echter gemakkelijk zou zijn, is een boete voor de praktijken van de afgelopen jaren, waarover het Hof van Jusitie duidelijk heeft gezegd dat de overdrachten illegaal waren. Het is vreemd dat de DPC in dit geval de enige efficiënte straf lijkt te 'vergeten'. Je zou de indruk kunnen krijgen dat de DPC deze zaak gewoon keer op keer in cirkels wil laten draaien."
Wat wel duidelijk is, is dat de druk toeneemt. Het verkapte dreigement van Meta is wellicht bedoeld om de onderhandelaars van de VS en de EU onder druk te zetten om snel met een nieuwe regeling te komen, waardoor de datatransfers naar de VS weer zonder al te veel onzekerheid en compliancekosten kunnen plaatsvinden. Andersom neemt de druk ook duidelijk toe op bedrijven als Meta en Google, omdat een verbod op meerdere van hun diensten dichterbij is dan ooit. Het helpt daarbij ook niet mee dat Europeanen niet bepaald overlopen van vertrouwen als het gaat om het opslaan van hun persoonlijke gegevens in de VS.
De grote vraag is nu wanneer de opvolger van Privacy Shield eindelijk van kracht wordt. Eind maart werd er al een principeakkoord bereikt over het nieuwe raamwerk. Het is nog onbekend wanneer dit akkoord definitief en openbaar wordt, maar vermoedelijk zal dat nog wel in dit jaar gebeuren. De vraag is dan of het een wezenlijke verbetering van Privacy Shield is, of meer van hetzelfde. Max Schrems toonde zich eerder al sceptisch over de wil van de VS om zijn surveillancewetten wezenlijk aan te passen. In een open brief uit mei schrijft hij dat het principeakkoord waarschijnlijk veelal gebaseerd zal worden op Amerikaanse presidentiële bevelen. Hij stelt dat dergelijke decreten niet voldoende zijn om te voldoen aan de door het Hof van Justitie gestelde eisen. Verzet vanuit Schrems, wel of niet via de Europese rechter, ligt dan ook zeer voor hand en de European Data Protection Board zal ongetwijfeld ook een niet-bindend advies uitbrengen aan de Commissie. Voorlopig is het vacuüm dus nog even aan de orde. Dat kan een verbod op diensten van Amerikaanse bedrijven steeds dichterbij brengen, maar ook bij een Privacy Shield-opvolger is het geenszins gezegd dat er een einde komt aan de onzekerheid.
Bannerfoto: sarayut Thaneerat / Getty Images
/i/2005045652.png?f=fpa_thumb)
:strip_exif()/i/2004743102.jpeg?f=fpa)
/i/2004609018.png?f=fpa)
/i/2004608956.png?f=fpa)
:strip_icc():strip_exif()/u/119894/rsz_keyboard_help.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/140697/crop6180fb9103afa_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/155703/crop5fc8280603c09_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community){kind=small}
:strip_exif()/u/467778/crop5d7a5dd1f296a.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/249279/crop5f1097e13cf2e_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/259705/AC.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/92809/crop577f58c1b8795.jpeg?f=community){kind=small}
/u/226258/tweakersavatar.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/370910/Ubuntu2.jpg?f=community){kind=small}
/u/10340/bender2.png?f=community){kind=small}
/u/627287/crop5f8ef98351ddc_cropped.png?f=community){kind=small}
/u/99142/crop62758e978b3e3_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/386526/crop5e79fc3cdf222_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/14965/crop6362b4571b01a_cropped.jpg?f=community){kind=small}