Op 7 oktober tekende de Amerikaanse president Biden een “Executive Order” – een soort wet – die een begin kan vormen voor een nieuw privacy akkoord tussen de EU en de VS. Waarom is dat belangrijk? We vroegen het Peter Vergote, onze juridische expert.
Waar gaat die Amerikaanse wet over? Kan je dat simpel uitleggen?
Het gaat onder andere over de datatransfers die gebeuren tussen de Europese Unie en de Verenigde Staten en het beschermingsregime van persoonlijke gegevens die daar opgeslagen worden. Als gebruiker van verschillende diensten of websites, zoals Facebook of Google bijvoorbeeld, ga je akkoord met hun gebruiksvoorwaarden. Dan kan het zijn dat je persoonlijke gegevens naar Amerikaanse servers worden doorgestuurd en daar worden opgeslagen. Dit kan zelfs gebeuren zonder dat je het weet. Er moet dus een “adequate bescherming” bestaan voor de persoonsgegevens van Europese burgers, in de landen waar die gegevens naartoe gaan. De GDPR heeft de regels hierrond aanzienlijk verscherpt.
Wat betekent dat? Een “adequate bescherming” van persoonsgegevens?
Kort gezegd: in een land waar persoonlijke gegevens naartoe gestuurd worden, moet vergelijkbare bescherming bestaan voor deze gegevens zoals binnen de Europese Unie. En hier bestaat natuurlijk een vrij uitgebreide bescherming op het vlak van privacy sinds het begin van de GDPR.
Wat was de aanleiding voor President Biden om deze Executive Order te ondertekenen?
Na het Schrems II* arrest (kijk hieronder) lag het zogenaamde ‘Privacy Shield’ aan diggelen en moesten de EU en de VS opnieuw onderhandelen over een raamwerk met betrekking tot de bescherming van privacy. Ze zochten hierbij een akkoord tussen beide blokken, dat datatransfers mogelijk moet maken die compatibel zijn met de GDPR. Het heeft twee jaar onderhandelen gevraagd, maar begin dit jaar (2022) zijn ze er uiteindelijk uit geraakt en deze Executive Order is de implementatie van dat akkoord in de VS.
*Schrems I en II zijn arresten van het Europees Hof van Justitie als gevolg van rechtszaken die werden gestart door Maximilian Schrems, een Oostenrijkse privacy activist. Meer uitleg verder.
Wat staat er in het huidig akkoord dat de situatie verbetert?
Er kwamen garanties bij dat de nationale veiligheidsdiensten van de Verenigde Staten niet zomaar toegang krijgen tot de gegevens van EU-burgers. Als toegang dan tóch gevraagd zou worden, kan een gewone EU-burger zich hiertegen verzetten. In dat geval oordeelt een commissie of de vraag voldoende geargumenteerd is. De veiligheidsdiensten zouden ook enkel nog de gegevens van één bepaalde groep mensen kunnen aanvragen. (nvdr: de mensen die verdacht zijn in een bepaalde zaak).
Wat er vroeger niet was, is er nu wel: Amerikaanse veiligheidsdiensten hebben minder rechten om gegevens van EU-burgers in te kijken.
Verwacht je dat dit akkoord stand zal houden?
Het is erg moeilijk om te voorspellen waar we uiteindelijk gaan uitkomen. Eerst moet deze Executive Order (en de achterliggende regeling voor datatransfers tussen de EU en de VS) nog de zegen krijgen van de Europese Commissie. Slechts daarna is er sprake van een definitieve nieuwe privacyregeling tussen beide blokken. We kunnen er tevens vanuit gaan dat van zodra er een “adequacy decision” is, er meteen ook een nieuwe procedure voor het Europees Hof van Justitie op gang getrokken zal worden door Schems en co.
Wat er precies in een arrest Schrems III zou kunnen staan, is koffiedik kijken. Ondanks de proportionaliteit van het nieuwe regime kunnen nationale veiligheidsdiensten uit de VS nog steeds toegang krijgen tot de data van EU-onderdanen als je de teksten letterlijk interpreteert. Als dit de hoofdconclusie is, zal een eventueel Schrems III arrest het bestaande mechanisme waarschijnlijk opnieuw als onvoldoende beschouwen. Als de beperking van de toegang en de verschillende verweermiddelen waarover de EU-burgers beschikken voldoende is om te spreken van een “equivalente bescherming zoals in de EU”, dan zou het daarentegen toch kunnen dat het Europees Hof beslist dat het veilig genoeg is en voldoet aan de vereisten van de GDPR.
“De heisa rond datatransfers raakt de economische betrekkingen tussen EU en VS-bedrijven recht in het hart. De flou moet opgeklaard worden zodat we eindelijk weten welke services we nog mogen gebruiken en of het oké is wanneer gegevens doorgestuurd worden.”
Moeten we toch nog steeds afstappen van Amerikaanse diensten?
Kort gesteld, als er degelijke en veilige alternatieven bestaan, gebruik je die beter. Als er veel vroeger dan verwacht opnieuw een vernietigend Schrems III arrest aankomt, zitten we weer in dezelfde situatie als vandaag. Diensten zoals Google Analytics of Office 365 lijken op het eerste zicht niet zo makkelijk te vervangen. Maar een applicatie zoals Mailchimp bijvoorbeeld kan je wellicht eenvoudiger vervangen, daar bestaan Europese alternatieven voor zoals Flexmail. Is er geen alternatief of is de soortgelijke service niet geweldig? Dan moet je de afweging maken of het belangrijker is de service te behouden dan wel zekerheid te hebben over de juridische situatie. Hierbij hou je best ook rekening met de beslissingen van de Europese gegevensbeschermingsautoriteiten zoals bv. de GBA voor België.
De vraag of onze gegevens wel voldoende beschermd zijn door Amerikaanse firma’s komt natuurlijk wel van iemand, hoe is deze discussie ooit begonnen?
In 2011 besloot Maximilian Schrems, een Oostenrijks staatsburger en student rechten, dat zijn gegevens onvoldoende beschermd waren in de VS. Schrems was vooral furieus tegen Facebook. De Amerikaanse sociale mediareus stuurde zijn gegevens via Ierland naar de VS. Schrems startte vervolgens meerdere juridische acties, voornamelijk in Ierland. Toen de Ierse Data Protection Commission zijn verzoeken afwees, trok hij naar het Europees Hof van Justitie. In 2015 gaf dit Hof hem gelijk en werd het arrest Schrems I uitgesproken. Dat betekende het einde van de zogenaamde “Safe Harbor Principles”, waaronder de EU en de VS aan transatlantische gegevensoverdrachten deden.
Wat waren de gevolgen van het arrest Schrems I?
Het zorgde voor een hele rits aan problemen tussen de EU en de VS op het vlak van datatransfers. Er dreigde een verbod op transatlantische overdrachten van persoonsgegevens en beide partijen zochten dan ook druk naar een opvolger voor het verdwenen “Safe Harbor”. Het “Privacy Shield” leek hierbij een oplossing en garandeerde extra beschermingen bij gegevensuitwisseling. Als alternatief voor “Privacy Shield” kon ook gewerkt worden met de door de Europese Commissie uitgewerkte “Standard Contractual Clauses” (SCC’s). Deze SCC’s zijn individuele afspraken waarbij bedrijf X dat gegevens aankrijgt in de VS, bevestigt dat ze de data zullen gebruiken op een manier die overeenkomt met het Europees recht.
In 2016 bevestigt de Europese Commissie de “adequate bescherming” voor Europese burgers onder het “Privacy Shield” regime. En toch zet Maximilian Schrems zijn kruistocht verder.
“Sommige van de mogelijke consequenties van deze beslissingen zouden ons 10 jaar terug kunnen zetten in de tijd.”
Welk vervolg kreeg Schrems I?
In de Verenigde Staten kan elke veiligheidsdienst eenvoudig gegevens opvragen van internetgebruikers, en dus ook die van Europese burgers die op servers in de VS zijn opgeslagen. Hier in ons land werkt dat anders. Onze veiligheidsdiensten kunnen alleen op een proportionele manier gegevens opvragen, bijvoorbeeld als onderdeel van een bepaald gerechtelijk onderzoek. Zo kan de politie bijvoorbeeld als ze onderzoek aan het doen is naar drugssmokkelaars, de gegevens van enkele personen opvragen die verdacht zijn in dit specifiek onderzoek. In de VS is dat niet het geval, in theorie zou de Amerikaanse staatsveiligheid alle gegevens van alle Europeanen op Facebook kunnen aanvragen, zonder hiervoor een specifieke reden te moeten opgeven. Voor Schrems was dat onaanvaardbaar.
Hij start opnieuw een procedure voor het Europese Hof van Justitie, dat hem nog eens gelijk geeft met het “Schrems II”-arrest. Dat vernietigt het “Privacy Shield” tussen de EU en de VS. De reden? De brede toegang tot persoonsgegevens voor de Amerikaanse veiligheidsdiensten is niet in lijn met de principes van de GDPR. Strikt genomen was op dat moment elke datatransfer tussen de EU en de VS dus (opnieuw) illegaal.
Welke gevolgen heeft dat voor Amerikaanse bedrijven?
De gevolgen zijn enorm ingrijpend. Meta is bijvoorbeeld verplicht data te delen als ze gevraagd worden dat te doen. Er zijn maar twee manieren waarbij Meta aan de regels kan voldoen. Ofwel simpelweg geen diensten meer aanbieden aan Europese burgers, of zich opsplitsen in twee verschillende bedrijven, één Amerikaans en één Europees. Het Europese bedrijf zou dan wel diensten aan Europese burgers kunnen aanbieden. Maar dat veronderstelt dan wel dat Meta zijn Europese activiteiten volledig van de hand doet (zolang deze nog verbonden zijn met het moederbedrijf, blijft alles onder toepassing van de Amerikaanse wetgeving vallen).
De Amerikaanse e-mailservice Mailchimp heeft zelf toegegeven dat ze de persoonsgegevens van Europeanen opslaat in de VS. Als je dat doortrekt, zijn cloud diensten zoals Office 365 misschien ook onwettig. Het wordt dan wel een beetje straf. Voor het gebruik van Google Analytics zijn er wel al officiële uitspraken van zo’n 4-tal Data Protection Authorities (DPA’s). Zij oordeelden dat gebruik maken van Google Analytics niet strookt met de GDPR.
“We zitten dus al sinds een paar jaar met een stevige onzekerheid over wat wel en niet mag. Het blijft wel de bedoeling dat de EU en de VS kunnen samenwerken.”
De Europese Commissie moet die nieuwe wet nu nog onderzoeken. Zij oordelen of ze al dan niet “adequate bescherming” biedt aan Europese data. Dit heet een “adequacy decision” in het jargon. We verwachten dat dit binnen een zestal maanden gebeurt. Het zou ons voor een tijdje terug in een juridisch zekere omgeving brengen, bedrijven zouden terug legaal transaltantisch data kunnen uitwisselen.
Met dit artikel ondersteunen wij de Duurzame Ontwikkelingsdoelstellingen van de Verenigde Naties.