Safe harbor in onstuimig weer
- 23 september 2015
Vandaag heeft de adviseur van de Europese rechter een mokerslag uitgedeeld aan de Europese Commissie en de Verenigde Staten. In het advies staat dat de VS onvoldoende de privacy van Europese burgers beschermt. Als dit advies wordt overgenomen zijn de consequenties groot: voor Amerikaanse bedrijven én voor massasurveillance in de VS en in Europa.
De aanleiding voor de zaak
De Europese privacywet zorgt ervoor dat de privacy van Europese burgers wordt beschermd. In die wet zijn ook regels opgenomen voor het verplaatsen van gegevens van Europeanen naar niet-Europese landen. Dat is bijvoorbeeld het geval als Facebook gegevens van Europeanen op Amerikaanse servers opslaat. Om die overdracht tussen de Europese Unie en de Verenigde Staten makkelijker te maken heeft de Europese Commissie de “safe harbor decision” genomen. Hierin zijn voorwaarden neergelegd waaraan Amerikaanse bedrijven zich moeten houden en zij mogen alleen Europese gegevens verwerken als ze zich aan die voorwaarden houden.
Dat klinkt in theorie heel mooi, maar de vraag blijft natuurlijk: Worden de gegevens van de Europese burger écht goed beschermd als die gegevens naar de VS worden verplaatst? Wij vinden van niet: in een eerder blog gaven wij al aan waarom. Ook Max Schrems heeft grote problemen met de ‘safe harbor’.
Max Schrems versus Facebook
De Oostenrijker Max Schrems is onder de vlag Europe-v-Facebook verwikkeld in meerdere rechtszaken tegen Facebook. Deze zaak gaat over de bescherming van gegevens over Europese burgers op de Amerikaanse servers van bedrijven als Facebook en over de safe harbor. Hij diende een klacht in bij de Ierse privacy-autoriteit. Die wees de klacht af. Ze gaven aan dat die safe harbor-beslissing een Europese beslissing is en dat een nationale toezichthouder daar niets aan kan veranderen.
Schrems was het met de beslissing van de Ierse toezichthouder niet eens en stapte naar de Ierse rechter, die over de uitleg van de Europese wet vragen stelde aan het Europese Hof van Justitie. Dat gebeurt vaker: dan geeft het Europese Hof uitleg over hoe Europese regels uitgelegd moeten worden.
Het advies van de advocaat-generaal
Voordat het Hof van Justitie een uitspraak doet, komt de advocaat-generaal met een advies. Dat wordt in de praktijk vaak opgevolgd.
De advocaat-generaal maakte gehakt van de beslissing van de Ierse toezichthouder. Volgens hem hebben goede regels goede en onafhankelijke handhaving nodig. Ook zijn er geen wetten of verdragen die de toezichthouder verbieden toezicht te houden. Met andere woorden: de Ierse databeschermingsautoriteit had in dit geval mogen oordelen dat gegevensverkeer naar de VS moest stoppen. Dat is interessant, want dat betekent dat straks dus ook het Nederlandse College bescherming persoonsgegevens soortgelijke beslissingen zou kunnen nemen.
By the way, safe harbor is niet geldig
Vervolgens zegt de advocaat-generaal dat het Europese Hof van Justitie ook zou moeten kijken of die safe harbor-beslissing wel geldig is, omdat daar twijfels over worden geuit in de vragen van de Ierse rechter.
En, surprise: hij zegt van niet! Hij stelt dat de VS een gigantische inbreuk op privacy maakt door op grote schaal toegang tot gegevens van onverdachte Europeaanse burgers te hebben en zonder waarborgen voor de burger, bijvoorbeeld in de vorm van een onafhankelijke rechterlijke instantie. En alhoewel er uitzonderingen zijn voor nationale veiligheid gaan die niet op. Daarom moet de safe harbor-beslissing ongeldig verklaard worden.
En nu?
Nu is het de vraag wat het Hof hiermee doet. In ieder geval kan dit zeer grote consequenties hebben: in de eerste plaats voor het gegevensverkeer naar de VS. Als het Hof namelijk bepaalt dat safe harbor ongeldig is, zou al het gegevensverkeer naar de VS moeten worden stopgezet. Dat geldt dan voor nogal wat bedrijven waar de gemiddelde Europeaan gebruik van maakt.
Daarnaast heeft het consequenties voor de toekomstige regels voor overdracht van gegevens tussen Europa en de VS. Die regels zullen dus meer waarborgen moeten bieden. Maar kan het überhaupt wel, als de VS en de NSA zo’n uitgebreid massasurveillance programma hebben?
Maar bovenal heeft het consequenties voor surveillancepraktijken van Europese lidstaten. Als de Europese rechter zou bepalen dat bulksurveillance niet mag, dan heeft dat ook grote consequenties voor alle plannen op Europese (en Nederlandse!) bodem?