Krijgt de gefaalde Privacy Shield-overeenkomst in de komende maanden een opvolger? Daar lijkt het wel op. De Europese Unie en de Verenigde Staten traden enkele weken geleden naar buiten met het nieuws dat er een principeakkoord is bereikt over een 'nieuw raamwerk voor trans-Atlantische datastromen'. "Dit zal voorspelbare en betrouwbare gegevensstromen tussen de EU en de VS mogelijk maken, waarbij de privacy en burgerlijke vrijheden worden gewaarborgd", aldus EU-Commissievoorzitter Ursula von der Leyen.
Privacy Shield werd in 2020 door de Europese rechter doorboord en afgeschoten. Het heikele punt was de manier waarop de VS omgaat met de bescherming van persoonlijke data en hoe hun surveillance daarin een rol speelt. De Oostenrijkse privacyvoorvechter Max Schrems zat achter deze rechtszaak en kreeg het Hof van Justitie aan zijn kant.
Er waren dus reparatiewerkzaamheden nodig om datadoorgiften weer wat eenvoudiger te maken voor bedrijven, en om de privacywaarborgen robuuster te maken. Op dit moment is de grote vraag of dat gelukt is. In feite was de aankondiging van het principeakkoord slechts een vooraankondiging. De Europese datatoezichthouder, de European Data Protection Board, moet zich er bijvoorbeeld nog over buigen en de exacte concepttekst is ook nog niet bekend.
Wat wel duidelijk lijkt, is dat ook deze nieuwe poging na het gefaalde Safe Harbour en later gefaalde Privacy Shield een heikele aangelegenheid zal worden. Met name omdat er in de VS nog weinig beweging lijkt te zijn om te voldoen aan de Europese zorgen over de privacy. Onlangs was er een Amerikaanse uitspraak die daar niet aan zal bijdragen. Wat staat daar precies in, hoe kan dat een nieuwe overeenkomst bemoeilijken, wat zal er naar verwachting in de nieuwe deal staan en hoe zit het ook alweer met het Privacy Shield?
Hoe zat het met de voorganger van Privacy Shield?
De voorloper van Privacy Shield was de Safe Harbour-overeenkomst. De basis daarvan werd gelegd via de in 1998 ingevoerde Directive on Data Protection en via een in 2000 aangenomen beschikking van de Europese Commissie. Met die beschikking bestempelde de EU de VS als land met voldoende waarborging van adequate gegevensbescherming. Dit vormde de basis voor de legale doorgifte van persoonsgegevens vanuit de EU naar de VS.
Daarbij moesten bedrijven in de EU en VS zich houden aan een zevental zogeheten Safe Harbour Privacy Principles. Zo was er een Notice-principe om individuen te laten weten voor welke doeleinden er informatie over ze werd verzameld en gebruikt, en hoe de organisatie was te bereiken voor klachten. Ook moest er een opt-outmogelijkheid zijn voor als die informatie zou worden verstrekt aan derden of gebruikt zou worden op een manier die niet aan de gestelde doelen voldeed. Verder waren er nog principes die bijvoorbeeld de databeveiliging en -integriteit moesten bevorderen en de toegang tot de data moesten verzorgen.
Dat klinkt allemaal aardig, maar de Oostenrijkse rechtenstudent Maximillian Schrems dacht er anders over. Hij was het niet eens met de manier waarop Facebook de Safe Harbour-overeenkomst toepaste. Schrems vond dat Facebook-gegevens in de VS niet in goede handen waren en dat het bedrijf de Europese privacyregels schond. Daarbij verwees hij naar de onthullingen van Edward Snowden en de vaststelling dat de Amerikaanse overheid op grote schaal toegang had tot gebruikersgegevens, bijvoorbeeld via het Prism-afluisterprogramma van de Amerikaanse inlichtingendienst NSA.
Schrems begon zijn zaak in Oostenrijk, maar de actie verhuisde naar Ierland, omdat het Europese Facebook-hoofdkantoor in dat land staat. De relevante toezichthouder was de Ierse Data Protection Commission. Daar diende Schrems in juni 2013 zijn klacht in, maar de DPC wilde zijn klacht niet onderzoeken. Via het Ierse hooggerechtshof kwam de zaak bij het Europese Hof van Justitie terecht. Het niet-bindende, doch zwaarwegende advies van de toenmalige advocaat-generaal luidde dat de VS op grote schaal data van EU-burgers verzamelde zonder dat dit gepaard ging met voldoende bescherming. Het Hof ging daarin mee. De rechters concludeerden dat er geen wetten of praktijken in de VS waren die schendingen van de privacy en databescherming konden beperken, en ook het gebrek aan effectieve rechtsmiddelen voor individuen werd aangestipt. Het Hof verklaarde Safe Harbour in oktober 2015 ongeldig. Dit vonnis staat ook wel bekend als de Schrems I-uitspraak.
Opvolger van Safe Harbour
Het ongeldig verklaren van Safe Harbour betekende werk aan de winkel voor de Commissie, die overigens al in 2014 was begonnen met overleg om de Safe Harbour-overeenkomst te verbeteren. Men zag de bui zelf blijkbaar ook al hangen. Na de ongeldigheidsverklaring in oktober 2015 kwam toezichthouder EDPB al binnen twee weken met een document over de gevolgen van de uitspraak van het Hof van Justitie en riep lidstaten met klem op discussies met de VS te openen om tot "politieke, juridische technologie-oplossingen te komen voor het mogelijk maken van datatransfers naar de VS waarbij fundamentele rechten worden gerespecteerd".
Dit vormde de opmaat voor een vervanger van Safe Harbour. De Commissie gaf in november 2015 aan wat bedrijven moesten doen met datatransfers naar de VS in de periode dat er nog geen nieuw raamwerk lag. Daarbij gaf de Commissie een drietal alternatieven voor de trans-Atlantische datatransfers: Standard Contractual Clauses (modelcontractbepalingen), Binding Corporate Rules (bindende bedrijfsvoorschriften) en Transfer Derogations. Dat laatste alternatief zag toe op een aantal voorwaarden op basis waarvan van een doorgifteverbod kon worden afgeweken. Kort gezegd kwam de situatie na Safe Harbour en voor Privacy Shield erop neer dat bedrijven voor datadoorgifte standaard contractuele clausules of scc's moesten tekenen met hun datapartners, voor zover ze geen bindende bedrijfsvoorschriften hadden. Voor elke datapartner moest dus een apart contract worden getekend.
Begin februari 2016 kwamen de VS en de EU tot overeenstemming over een nieuw raamwerk. Dat leidde uiteindelijk op 12 juli 2016 tot de adequaatheidsbeslissing ten aanzien van de VS en daarmee de implementatie van de Privacy Shield-overeenkomst. In feite was dat Safe Harbour 2.0. De European Parliamentary Research Service schreef een uitgebreide analyse over onder meer de belangrijkste verbeteringen in Privacy Shield. Zo werden zo ongeveer alle Safe Harbour-principes aangescherpt en voorzien van meer waarborgen en rechten voor individuen. Ook werden de mechanismen om verhaal te halen verbeterd. Zo was samenwerking van bedrijven met databeschermingsautoriteiten eerder slechts vrijwillig, maar dit werd nu verplicht gesteld. Ook kwamen er mechanismen voor als bedrijven zich niet hielden aan besluiten van dit soort autoriteiten, waarbij als laatste instantie ook een Privacy Shield-arbitratiekamer beschikbaar was. Ook kwam er een nieuw ombudsman-mechanisme.
Kritiek op Privacy Shield
In de uiteindelijke versie van Privacy Shield waren al wat verbeteringen uit de conceptfase meegenomen, maar achteraf was er alsnog de nodige kritiek. In Privacy Shield is opgenomen dat de verplichting om de principes te respecteren niet absoluut is. Belangen op het vlak van nationale veiligheid, eisen van wetshandhavende instanties, overheidswetten of -regels en rechterlijke uitspraken kunnen een grond zijn voor het niet volgen van de principes. Kortom, in sommige situaties zou de Amerikaanse overheid toch toegang kunnen krijgen tot persoonsgegevens uit de EU. Ook bulkverzameling van data door Amerikaanse autoriteiten was nog mogelijk, al zou de VS hebben verzekerd dat dat slechts bij uitzondering zou gebeuren en als andere maatregelen technisch niet mogelijk zijn. Deze bulkverzameling was beperkt tot zes gevallen van vrij breed geformuleerde veiligheidsdoeleinden. Ook was er kritiek op de onafhankelijkheid van de ombudsman en de effectiviteit van dat mechanisme.
De algehele kritiek was toch weer dat er onvoldoende bescherming was voor EU-burgers. De European Consumer Organisation (BEUC) was er vrij duidelijk over: "Privacy Shield opent gat in bescherming van de privacy van EU-burgers", zo luidde de kop van een opiniestuk van de organisatie in juli 2016. De organisatie stelde dat er geen adequate bescherming was en noemde het teleurstellend dat de EU 'zo weinig zin toonde voor het verdedigen van zijn pionierende databeschermingsregels'. BEUC vond dat er meer naar databeschermingsautoriteiten had moeten worden geluisterd en dat Privacy Shield het resultaat is van te veel toegeven aan politieke en commerciële druk.
Privacy Shield wachtte hetzelfde lot
Met dit soort kritiek kon Schrems II nauwelijks uitblijven. Dankzij Schrem en zijn organisatie Noyb (None of your business) boog het Hof van Justitie zich ook over Privacy Shield. In juli 2020 haalde deze hoogste rechterlijke EU-instantie ook een streep door deze overeenkomst. In de uitspraak gaf het Hof aan dat de doorgifte van persoonsgegevens naar een ander land gepaard moet gaan met een mate van bescherming die vergelijkbaar is met die van de GDPR. Toezichthouders moeten de datatransfers naar een derde land blokkeren als ze van mening zijn dat er geen sprake is van fatsoenlijke databescherming. Is er sprake van dat laatste? Volgens de EU-rechters is de bescherming onvoldoende, waarbij werd aangestipt dat de Amerikaanse surveillanceprogramma's disproportioneel zijn omdat ze verder gaan dan noodzakelijk is. Daarnaast wordt geconcludeerd dat EU-burgers te weinig of geen rechten zouden hebben om iets af te dwingen in een rechtszaak tegen de Amerikaanse overheid, en het ombudsmanmechanisme werd ook als onvoldoende betiteld. Om deze redenen is Privacy Shield van tafel geveegd.
De scc's werden niet verboden. Dit zijn contracten tussen twee partijen, waarbij een verwerker zich verplicht om op een bepaalde manier om te gaan met de persoonsgegevens. Scc's bereiken in feite hetzelfde als de Privacy Shield-regeling, doordat bedrijven via eigen contracten ook een juridische grond kunnen creëren voor de doorgifte van persoonsgegevens. Het idee is dat al die eigen contracten min of meer op zichzelf staan en daarmee niet zo snel onderuit kunnen worden gehaald.
Volgens het Hof hangt de rechtmatigheid van scc's af van de omstandigheden van het geval. Daarbij gaat het met name om de vraag of er effectieve mechanismen zijn om te verzekeren dat wordt voldaan aan de vanuit de EU gewenste mate van databescherming. Dat maakt dat dit instrument alleen nog is te gebruiken als er geen sprake is van conflicterende regelgeving. De Amerikaanse surveillancewetgeving kan daarbij een probleem vormen. Nationale toezichthouders moeten ingrijpen als de bij de scc betrokken bedrijven geen actie ondernemen tegen het doorbreken van de bescherming van de data.
Eigenlijk betekende de uitspraak dat bedrijven niet meer zomaar legaal gegevens konden doorgeven van de EU naar de VS. Dat betekende niet dat er niets meer mogelijk was. Op grond van artikel 49 van de GDPR is de doorgifte van data nog mogelijk is als die 'noodzakelijk' is, en bijvoorbeeld als de betrokkene nadrukkelijk heeft ingestemd met de voorgestelde doorgifte en op de hoogte is van de risico's. Het kan ook als de doorgifte nodig is om gewichtige redenen van algemeen belang of als het nodig is om aan een contract te voldoen. Dit vormde na de uitspraak van de rechter de basis voor de meeste transacties met de VS.
Wat weten we over de nieuwe overeenkomst?
We weten nog vrij weinig. Er ligt nog geen tekst om te analyseren en het zal nog wel enkele maanden duren voordat hij er is, denkt Schrems. Het enige dat nu duidelijk is, is dat er een principeakkoord ligt. Schrems stelt dat dit waarschijnlijk betekent dat advocaten en juristen nog altijd bezig zijn om oplossingen te vinden voor de obstakels die het Hof van Justitie heeft aangestipt. Het Witte Huis heeft enkele algemene elementen benoemd, maar het blijft voor nu koffiedik kijken als het gaat om de details.
De Amerikaanse regering stelde onder meer dat het nieuwe raamwerk het volgende verzekert: "Het verzamelen van inlichtingen uit signalen mag alleen plaatsvinden als dat nodig is om legitieme nationale veiligheidsdoelstellingen te bevorderen en mag geen onevenredige impact hebben op de bescherming van de persoonlijke levenssfeer en burgerlijke vrijheden." Daarnaast benadrukte het Witte Huis dat Amerikaanse inlichtingendiensten procedures zullen aannemen zodat er sprake is van een 'effectief toezicht op nieuwe privacystandaarden en burgervrijheden'. Ook wordt er werk gemaakt van een nieuw tweeledig mechanisme zodat EU-burgers er werk van kunnen maken als ze vinden dat hun rechten zijn geschonden. Onderdeel daarvan is een Data Protection Review Court waarin individuen zitting nemen die geen onderdeel van de Amerikaanse regering zijn. Deze leden zouden de volledige autoriteit hebben om claims te beoordelen en maatregelen op te leggen. Het zal waarschijnlijk afhangen van de specifieke formuleringen, details, voorwaarden en uitzonderingen of deze elementen genoeg zijn om een eventuele Schrems III-zaak te vermijden of te doorstaan.
Kritiek van Schrems
Max Schrems is bij voorbaat al kritisch. Hij spreekt van een 'lipstick on a pig'-aanpak, wat enigszins is te vertalen met 'oude wijn in nieuwe zakken'. Schrems denkt dat de nieuwe overeenkomst slechts wat cosmetische aanpassingen zal hebben die niet bijdragen aan het oplossen van de fundamentele problemen. Schrems: "Wat Noyb hoort, is dat de VS niet van plan is om hun surveillancewetten te veranderen, maar alleen voorzien in de geruststelling van de uitvoerende macht, met EU-taal zoals 'proportionaliteit'. Het is onduidelijk hoe dit ook maar enigszins de test van het Hof van Justitie zal doorstaan, aangezien de Amerikaanse surveillance door het Hof al als niet 'evenredig' werd beschouwd. Eerdere afspraken zijn in dit opzicht twee keer mislukt." Verder stipt Schrems aan dat er geen update lijkt te zijn voor hoe Privacy Shield inspeelt op commercieel datagebruik, terwijl de GDPR inmiddels van kracht is.
De Oostenrijker heeft er al met al weinig vertrouwen in, ook gelet op de manier waarop er volgens hem geopolitiek bij wordt gehaald: "We hadden in 2015 al een puur politieke deal die geen wettelijke basis had. Wat je nu hoort, is dat we nu voor de derde keer hetzelfde spel kunnen spelen. De deal was blijkbaar een symbool dat Von der Leyen wilde, maar het heeft geen draagvlak onder experts in Brussel, aangezien de VS niet in beweging kwam. Het is vooral verschrikkelijk dat de VS de oorlog tegen Oekraïne naar verluidt heeft gebruikt om de EU op dit economische onderwerp onder druk te zetten."
Schrems zegt ook teleurgesteld te zijn in het feit dat de EU en de VS niet zijn gekomen tot een 'geen spionage-overeenkomst' inclusief 'basisgaranties tussen gelijkgestemde democratieën'. Volgens hem zullen klanten en bedrijven nog jaren van juridische onzekerheid tegemoet gaan. Het zal volgens Schrems echter geen jaren duren voordat er weer een beslissing van het Hof van Justitie ligt. Hij zegt het nieuwe raamwerk te gaan aanvechten als daar aanleiding toe is en dat dit wellicht slechts enkele maanden in beslag zal nemen.
Kunnen we verwachten dat de VS stappen zet op het vlak van bezwaren rond surveillance?
Ashley Gorski, een Amerikaanse jurist bij burgerrechtenorganisatie ACLU, deelt de visie van Schrems. Ze stelt dat Privacy Shield 2.0 eraan komt 'zonder Amerikaanse wetgevingshervormingen'. "Het is moeilijk te zien hoe deze nieuwe deal de juridische beoordeling in de EU zal overleven. Voor een blijvende oplossing moet het Congres onze surveillancewetten hervormen", stelt ze.
Gorski wijst ook op een andere ontwikkeling in de VS die roet in het eten kan gaan gooien. In een opiniestuk van haar en ACLU-collegajurist Patrick Toomey wordt een recente uitspraak van het Amerikaanse Hooggerechtshof besproken. In deze zaak, genaamd FBI v. Fazaga, draait het om FBI-surveillance. Volgens Gorski zal deze uitspraak "het voor mensen aanzienlijk moeilijker maken om surveillancezaken in te stellen, en voor onderhandelaars van de VS en de EU om een duurzame overeenkomst te sluiten voor trans-Atlantische overdrachten van privégegevens."
Hoe zit dat? In deze zaak draait het om een FBI-operatie in 2006 en 2007 waarin agenten een betaalde informant naar een moskee in Californië stuurden. Deze informant moest zich voordoen als een tot de islam bekeerde moslim. Zonder onderscheid te maken, verzamelde de informant namen, telefoonnummers, e-mailadressen en informatie over de religieuze en politieke ideeën van honderden Amerikaanse moslims. Een imam en twee anderen besloten een rechtszaak te starten. De overheid vond dat hun eisen moesten worden afgewezen, gelet op het 'state secrets privilege'. Een beroepsrechtbank oordeelde deels in het voordeel van de imam en vond dat de claims konden doorgaan in een speciale procedure, waarbij rechtbanken achter gesloten deuren gevoelige informatie uit spionagezaken kunnen beoordelen.
Het Supreme Court had een andere opvatting en oordeelde dat dit privilege niet werd tenietgedaan door een bepaling uit de Foreign Intelligence Surveillance Act. Dit maakt het weliswaar niet onmogelijk voor Fazaga en anderen om op grond van publieke informatie claims in te dienen tegen overheidssurveillance, maar Gorski stelt dat "de meeste mensen gevoelige informatie van de overheid nodig hebben om te kunnen aantonen dat surveillance illegaal is". De beslissing van het Hooggerechtshof kan het volgens haar gemakkelijker maken om dergelijke informatie weg te houden van rechters en rechtszaken, wat het dus moeilijker maakt voor mensen om surveillance aan te vechten en hun recht te halen. Ze stelt dat ook deze zaak weer laat zien dat waarborgen in de VS inadequaat zijn, en aantoont waarom ze onvoldoende zijn in het licht van de EU-privacyregels.
De juristen schrijven dan ook dat deze zaak het aanzienlijk lastiger zal maken voor onderhandelaars om te komen tot een duurzame overeenkomst over datatransfers tussen de EU en de VS. Ze denken dat het zonder hervormingen vrijwel zeker is dat de nieuwe overeenkomst weer van tafel wordt geveegd, met de bijbehorende kosten en juridische risico's voor talloze bedrijven.
Volgens de auteurs is er dan ook een schone taak weggelegd voor het Amerikaanse Congres: "Door duidelijke procedures vast te stellen voor rechters om geheim bewijsmateriaal te onderzoeken in rechtszaken waarin illegale spionage wordt aangevochten, zou het Congres voorkomen dat de uitvoerende macht het privilege van staatsgeheimen gebruikt om de toetsing door de rechtbank in toekomstige zaken te frustreren. Hervormingen zoals deze zullen Amerikaanse bedrijven ten goede komen doordat ze het volgende privacyschild een sterkere juridische basis geven, en er ook voor zorgen dat gewone Amerikanen die door onwettig toezicht worden geschaad, hun verhaal kunnen halen in de rechtbank."
Bannerfoto: Tuomas A. Lehtinen & Tuomas A. Lehtinen / Getty Images
:strip_icc():strip_exif()/i/2005248132.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2005129424.jpeg?f=fpa_thumb)
/i/2004779058.png?f=fpa)
/i/2004628264.png?f=fpa)
:strip_exif()/i/2004743102.jpeg?f=fpa)
:strip_exif()/i/2004648156.jpeg?f=fpa)
:strip_exif()/i/1263478208.gif?f=fpa)
/i/2000593550.png?f=fpa)
/i/2001688979.png?f=fpa)
:strip_exif()/i/2000614887.jpeg?f=fpa)
/i/1241724688.png?f=fpa)
:strip_icc():strip_exif()/u/81611/headcrop.jpg?f=community){kind=small}
/u/450695/crop64b92b627ebdf.png?f=community){kind=small}
/u/306931/crop60a62a2d6526a_cropped.png?f=community){kind=small}
/u/28468/librarian2.png?f=community){kind=small}
/u/437412/crop5f209c0f16252.png?f=community){kind=small}
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/77607/crop5a9924c9496fb_cropped.jpeg?f=community){kind=small}