Tech

Dit gebeurt er met jouw gegevens op servers in de VS

Daniël Verlaan • 05 oktober 2015 15:16 @danielverlaan

Dit gebeurt er met jouw gegevens op servers in de VS
Beeld © Getty

Vandaag beslist het Europees Hof van Justitie over de huidige Safe Harbor-afspraak tussen Amerikaanse bedrijven en Europese burgers. De uitspraak is ook het eerste Europese besluit waarin de onthullingen van Edward Snowden een belangrijke rol spelen.

Wat is Safe Harbor?
Amerikaanse bedrijven verwerken privégegevens van Europese klanten via de zogeheten Safe Harbor-afspraak. Deze afspraak is in 2000 gemaakt tussen de EU en VS om Amerikaanse bedrijven in staat te stellen persoonsgegevens te verwerken zonder de Europese wetgeving te schenden.

Die wetgeving verbiedt in principe het verwerken van gegevens in landen waar de dataprotectiestandaard lager is dan in de EU, zoals in de VS. Met Safe Harbor wordt er een uitzondering gemaakt voor Amerikaanse bedrijven, zolang zij voldoen aan de Europese regelgeving voor het beschermen van persoonsgegevens.

Waarom spreekt het Europees Hof zich over deze kwestie uit?
De Oostenrijkse Max Schrems sleepte in 2014 Facebook voor de rechter. Schrems is van mening dat de onthullingen door Snowden over de afluisterpraktijken van de Amerikaanse geheime dienst NSA aantonen dat gegevens van Europese Facebook-gebruikers op Amerikaanse servers niet veilig zijn. De rechtszaak tussen Schrems en Facebook is door het Hooggerechtshof in Ierland, waar Facebooks Europese hoofdkantoor staat, doorverwezen naar het Europees Hof.

Wat is het advies van de advocaat-generaal?
Yves Bot, advocaat-generaal aan het Europees Hof, heeft twee weken geleden een advies geschreven aan de rechters van de hoogste Europese rechtbank. Volgens Bot mag de nationale toezichthouder op privacy, in Nederland het College bescherming persoonsgegevens (CBP), het doorsturen van gegevens van Nederlandse burgers naar Amerikaanse servers verbieden. Bot richtte zich hierbij specifiek op Facebook, maar het advies geldt voor elk Amerikaans bedrijf dat data van Europese klanten verwerkt en opslaat.

Bot vindt dat de privacy van Europese burgers door de onthullingen van Snowden (foto boven) niet kan worden gewaarborgd als de data van Europese burgers op Amerikaanse servers staan. Ook is de advocaat-generaal niet te spreken over dat het voor Europese burgers niet mogelijk is om de inzage van hun gegevens door de NSA aan te kunnen vechten.

Neemt het Europees Hof het advies over?
In veel gevallen wordt het advies van de advocaat-generaal door het Europees Hof aangenomen. Daphne van der Kroft, woordvoerder van burgerrechtenorganisatie Bits of Freedom, durft hier nog geen weddenschap op af te sluiten: "Het Europees Hof neemt niet altijd het advies van de advocaat-generaal aan. Dat is gebleken uit eerdere uitspraken."

"De uitspraak heeft waarschijnlijk tot gevolg dat de onderhandelingen over een nieuwe variant van Safe Harbor in een stroomversnelling komen. Het is echter helemaal afhankelijk van de uitspraak hoe de nieuwe afspraak eruit komt te zien, en of er überhaupt een nieuwe Safe Harbor komt ondanks de surveillance door Amerikaanse geheime diensten", aldus Van der Kroft.

Axel Arnbak, privacyonderzoeker aan de Universiteit van Amsterdam, ziet het advies van de advocaat-generaal als twee aparte beslissingen voor het Europees Hof. "Ten eerste stelt Bot dat de nationale toezichthouder de bevoegdheid heeft om onafhankelijk onderzoek te doen. In de Europese grondwet staat al dat er onafhankelijk toezicht moet zijn op de privacy van Europese burgers. Het is daarom aannemelijk dat het eerste punt wordt aangenomen."

Het tweede punt gaat volgens Arnbak over het versturen van data van Europese burgers naar Amerikaanse servers: "Dit is politiek gezien een extreem gevoelig onderwerp, omdat heel veel internationale bedrijven hun bedrijfsmodel op de huidige Safe Harbor-afspraak hebben gebouwd." Arnbak denkt dat het Europees Hof bij dit tweede punt de bevoegdheid eveneens bij de nationale toezichthouder legt: "Dat zou best kunnen betekenen dat het Hof verlangt van dat Google gegevens in Europa opslaat."

Wat voor invloed heeft de uitspraak op bedrijven?
Als het advies van de advocaat-generaal wordt gevolgd, zou dat flinke gevolgen hebben voor Amerikaanse bedrijven die data van Europese gebruikers verwerken. Het oordeel van het Europees Hof zou kunnen beteken dat Safe Harbor ongeldig wordt verklaard en bedrijven als Google en Facebook meer gaan leunen op hun Europese operaties.

"We zijn bezorgd over de mogelijke verstoring van de internationale gegevensstromen als het Europees Hof het advies van de advocaat-generaal volgt", aldus John Higgins van de Europese handelsorganisatie Digital Europe tegenover The New York Times.

Ook Daniel Castro, vicepresident van de toonaangevende Amerikaanse denktank Information Technology and Innovation Foundation (ITIF), is bang voor de gevolgen als Safe Harbor ongeldig wordt verklaard: "In de digitale economie is het van essentieel belang dat er een vrije stroom van informatie is om de wereldwijde handel op gang te houden. Maar het is wel belangrijk dat de VS en EU samen werken aan belangrijke privacyhervormingen." Als voorbeeld noemt Castro de mogelijkheid voor Europeanen om civiele acties te ondernemen tegen de VS.

Als Safe Harbor ongeldig wordt verklaard, kunnen bedrijven ook gebruikmaken van een Binding Corporate Rules (BCR). Ot van Daalen, digitale-rechtenadvocaat bij Project Moore Advocaten, legt uit: "Een BCR is een afspraak tussen een internationaal bedrijf en de nationale toezichthouder. Het is aannemelijk dat grote bedrijven als Google, Facebook en Amazon dergelijke afspraken gaan maken om de risico's op het overtreden van de regels zo veel mogelijk te beperken."

"Als het Hof besluit dat gegevens niet meer naar de VS mogen, zou dat voor veel bedrijven een onwerkbare situatie opleveren. Mogelijk wordt er dan door het Hof een soort overgangsperiode ingesteld. Zo kunnen bedrijven zich aanpassen op de nieuwe situatie of BCR's sluiten met de nationale toezichthouders. Het is aannemelijk dat de toezichthouders pragmatisch met deze situatie omgaan, en de bedrijven ook de tijd geven om hun werkwijze aan te passen."

Volgens Arnbak is het niet vreemd dat Amerikaanse bedrijven zich aan de nationale regels moeten houden: "Als een bedrijf in een land een tankstation wil bouwen, moet je ook aan allerlei landelijke en zelfs regionale regels voldoen. Waarom zou dat voor internetbedrijven anders zijn?"

En op consumenten?
Omdat het CBP hoogstwaarschijnlijk meer bevoegdheden krijgt, heeft de Nederlandse burger een directer lijntje om beklag te doen over vermeende privacyschendende praktijken van internationaal bedrijven. Daarnaast kan het CBP steviger optreden tegen bedrijven die zich niet houden aan de Nederlandse regelgeving.

Het CBP is verheugd met het advies van de advocaat-generaal. "Het advies onderstreept de onafhankelijke rol van de toezichthouder" zegt Merel Eilander van het CBP. "We blijven onafhankelijk onderzoek doen en als het nodig is kunnen we bijvoorbeeld het versturen van gegevens van Nederlandse burgers naar de VS voorkomen."

Het voorkomen van het doorsturen van gegevens naar Amerikaanse servers gebeurt echter alleen wanneer dit volgens het CBP noodzakelijk is. Het CBP kan deze situatie per bedrijf bekijken en beoordelen.

Arnbak vindt het versterken van de bevoegdheden van de nationale toezichthouder veel belangrijker dan het opslaan van data op Europese servers. "Het klinkt op papier heel logisch om data van Europese burgers op Europese servers op te slaan, maar door de praktijken van data-spionage zoals geopenbaard door Snowden zal dat verkeerd uitpakken."

"Als de uitspraak van het Europees Hof voor een betere bescherming van de privacy van Europese burgers tegen Amerikaanse spionage moet zorgen, zijn die data mogelijk veiliger als ze in de VS zijn opgeslagen. In de VS gelden verschillende wetten die het mogelijk maken dat de NSA alles mag doen in het buitenland, van aftappen tot hacken, zolang de verwachting is dat er geen gegevens van Amerikaanse burgers worden buitgemaakt."

Als Europese gegevens op een Amerikaanse server staan, is die verwachting minder vanzelfsprekend en mag de NSA niet zomaar op een server inbreken. Arnbak: "Het zou heel bizar zijn dat het Europees Hof besluit dat Europese gegevens in de EU moeten worden bewaard, maar daarmee de NSA juist de volledige toegang biedt tot onze gegevens."

Bron • RTL Z / Daniël Verlaan

Gerelateerde artikelen