Facebook mag onze gegevens niet meer zomaar in Amerika opslaan. Wat zijn hiervan de gevolgen?

Ot van Daalen
Gastcorrespondent Technologie

De hoogste Europese rechter heeft vanmorgen het belangrijkste mechanisme voor de overdracht van persoonsgegevens van Europa naar Amerika, de Safe Harbour-regeling, ongeldig verklaard. Wat betekent dit voor Amerikaanse internetbedrijven en Europese internetgebruikers?

Waar gaat deze uitspraak over?

Deze is aanhangig gemaakt door Max Schrems, een Oostenrijkse Facebookgebruiker. Hij had er bezwaar tegen dat zijn persoonsgegevens door Facebook vanuit Europa naar de Verenigde Staten werden overgedragen.

Hoewel persoonsgegevens in beginsel niet buiten de EU mogen worden overgedragen, hadden de Europese Commissie en de Verenigde Staten afspraken gemaakt over wanneer zo’n overdracht wel was toegestaan: de Safe Harbour-regeling.

Die regeling stelt eisen waaraan Amerikaanse bedrijven moeten voldoen, onder meer op het gebied van transparantie en beveiliging. Als zo’n bedrijf ‘Safe Harbour-certified’ was, mochten gegevens vanuit Europa naar zo’n bedrijf worden verzonden. Sindsdien heeft deze manier van gegevensoverdracht een enorme vlucht genomen. Duizenden bedrijven zijn blijkens de website van de Amerikaanse overheid Safe Harbour-certified.

Max Schrems stelde dat Amerikaanse bedrijven, ook de bedrijven die onder de Safe Harbour-regeling vielen, de persoonsgegevens van Europeanen helemaal niet goed kunnen beveiligen. Uit de Snowdenonthullingen bleek namelijk dat de National Security Agency deze gegevens op grote schaal opslaat en opvraagt, onder meer via het PRISM-programma waaraan Facebook meedeed. De Safe Harbour-regeling was dus helemaal niet ‘safe.

Daarom vroeg hij de Ierse privacytoezichthouder, die bevoegd is om de privacyregels te handhaven jegens de Ierse vestiging van Facebook, deze gegevensoverdracht stop te zetten. De Ierse toezichthouder stelde daarentegen dat hij hier niet over mocht oordelen omdat de Europese Commissie de Safe Harbour-regeling al heeft goedgekeurd (en de overdracht naar Safe Harbour-gecertificeerde bedrijven dus verondersteld werd rechtmatig te zijn).

Wat heeft het Hof bepaald?

Het Hof heeft allereerst de Safe Harbour-regeling ongeldig verklaard. Mede omdat Amerikaanse wetgeving als de Patriot Act de ongebreidelde opslag en toegang tot Europese persoonsgegevens mogelijk maakt, bood de Safe Harbour-regeling volgens het Hof onvoldoende bescherming.

Het Hof heeft bepaald dat de privacytoezichthouders zelf een oordeel mogen vellen over een besluit van de Europese Commissie

Het Hof heeft daarnaast bepaald dat de privacytoezichthouders zelf een oordeel mogen vellen over een besluit van de Europese Commissie zoals de Safe Harbour-regeling. Als gegevens worden overgedragen naar een land dat volgens een toezichthouder die gegevens onvoldoende beschermt, mag het die overdracht zelf stopzetten, ook als de Europese Commissie eerder besloot dat dit land wel voldoende bescherming bood.

Wat zijn de gevolgen van deze uitspraak?

Het belangrijkste mechanisme voor de overdracht van persoonsgegevens van de EU naar de VS is door deze uitspraak in één klap onbruikbaar geworden. Dat betekent niet dat overdrachten vanuit de EU naar de VS niet meer kunnen plaatsvinden. Er zijn namelijk ook andere mechanismen op grond waarvan zo’n overdracht mag plaatsvinden.

De belangrijkste zijn de zogenoemde modelcontracten: standaardbepalingen voor de overdracht van persoonsgegevens tussen bedrijven. Deze kunnen nog steeds gebruikt worden. In de praktijk merk ik dat veel bedrijven de afgelopen maanden dit soort contracten met Amerikaanse online partijen als terugvaloptie hebben afgesloten, ook als die bedrijven wel Safe Harbour-certified waren. Het sluiten van die contracten kost tijd en moeite en het is niet gezegd dat alle Amerikaanse bedrijven dit soort contracten ook willen aangaan. Het is ook niet uit te sluiten dat in specifieke gevallen een toezichthouder zo’n contract onder de loep neemt, maar het is op dit moment het meest realistische alternatief.

Dat betekent dat bedrijven zoals Facebook niet zullen stoppen met het aanbieden van hun diensten aan Europeanen. Zij hebben vermoedelijk al een tijd geleden dit soort contracten gesloten, omdat zij rekening hielden met de uitkomst van vandaag.

De uitspraak is zodoende eigenlijk interessanter vanwege de politieke gevolgen. De onderhandelingen over de gegevensoverdracht van de EU naar de VS lopen al langer: sinds de Snowdenonthullingen was ook de Europese Commissie van mening dat de Safe Harbour-regeling aan een herziening toe was.

Door deze uitspraak neemt de druk toe op de Europese Commissie om een privacyvriendelijk onderhandelingsresultaat met de VS te bereiken. En aangezien de VS op het gebied van nationale veiligheid waarschijnlijk weinig willen inleveren, is het de vraag of deze landen eruit gaan komen.

Deze uitspraak heeft ook gevolgen voor de interne EU-politiek. Op dit moment wordt namelijk ook gewerkt aan een herziening van de Europese privacyregels. Ook daar zal het vonnis van het Hof een extra reden zijn om de privacybelangen van Europeanen goed te beschermen, en de macht van de Europese Commissie ten opzichte van de nationale privacytoezichthouders te beperken.

En de gevolgen voor de gemiddelde internetgebruiker: zal die er iets van merken? Ik vermoed dat dat wel meevalt. Ook toezichthouders zullen namelijk terughoudend zijn. Het zou onwerkbaar zijn als zij eisen dat veel gegevensoverdrachten met de VS per direct worden opgeschort. Het is ook de vraag of Max Schrems dat wel voor ogen had.

Deze zaak gaat in de kern over massasurveillance. Daartegen bood de Safe Harbour-regeling volgens Schrems immers onvoldoende bescherming. En die massale surveillance inperken, dáár ligt ook de meest fundamentele oplossing. De Safe Harbour-zaak was zo bezien eigenlijk een breekijzer om een politieke discussie tussen de EU en de VS over het inperken van massale surveillance te forceren. Hopelijk trekken overheden zich ook die strekking van het arrest aan.