‘Safe Harbour’ was 15 jaar lang een wassen neus

Het Europees  Hof van Justitie oordeelde vanmorgen in de zaak Schrems vs. Facebook dat de zogenaamde Safe Harbour Beschikking de Europese burgers onvoldoende bescherming biedt. Het doorsluizen van persoonsgegevens naar de VS door nu een kleine 5.500 bedrijven (lijst) geschiedt onder onvoldoende voorwaarden voor bescherming van privacy. Onder die bedrijven is KPN met dochter iBasis dat veel telefoniedata opslaat in de VS onder Safe Harbour.

Het Hof neemt het advies van advocaat-generaal Yves Bot over dat het garanderen van databescherming op papier een wassen neus is als de praktijk in de VS uitwijst dat garanties niet werken. Nationale toezichthouders, zoals het CBP in Den Haag, hebben de plicht om hun burgers te beschermen.

Die burgers maar ook bedrijven kunnen nu massaal gaan klagen bij de toezichthouders over het schenden van hun privacy door de Amerikaanse bedrijven waar ze diensten van afnemen zoals Amazon (hosting etc.), Google (zoekopdrachten) en Facebook (‘hele hebben en houen’).

Europa maakt pas nu een vuist tegen de uitvoering van Safe Harbour, ofschoon daarop altijd felle kritiek is geweest. Immers, de Amerikaanse privacyregelingen waaronder de data vielen volstonden vaak niet. Echter, betrokken Eurocomissarissen en ambtenaren staken de kop nog een eindje verder in het zand.

Schrems, In ’t Veld en Kohnstamm

In een reactie is de winnende man Max Schrems als gebruikelijk fel, maar viert ook een triomf. Ook D66-Europarlementariër Sophie in ’t Veld haalt haar gelijk binnen. Ze zegt in een reactienu: “Doordat de Commissie al die jaren de kop in het zand heeft gestoken, zitten Europese bedrijven nu in de problemen. D66 roept al jaren tot opschorting van het verdrag omdat het onvoldoende bescherming voor mensen biedt. Ze hebben er een potje van gemaakt.”

In ’t Veld eist dat de Commissie een eind maakt aan het dralen met het herzien van Safe Harbour: “Het is van groot belang voor bedrijven en consumenten dat er eenduidige regelgeving komt, met gedegen rechtsbescherming. De Commissie moet Safe Harbour zo snel mogelijk aanpassen, binnen de uitspraak en de eisen van het Hof.”

Dit is het gelijk van student Max Schrems die de houding van de Data Protection Commissioner (DPC) in Ierland, die zijn Facebook-zaak behandelde, veel te slap vond. De Ieren werden gesteund door hun Europese zusterorganisaties en hun Europese club Working Party Art. 29, sinds 2009 onder leiding van de Nederlander Jacob Kohnstamm.

In een interview met Netkwesties zei Kohnstamm op vragen dat student Schrems de kastanjes uit het vuur haalt in plaats van toezichthouders:

"Dat is niet juist. De Ierse collega’s waren al bezig met Facebook. Dat studenten het veel sneller kunnen staat als een paal boven water. Zij zijn niet gebonden aan het bestuursrecht en kunnen snel tot conclusies komen zonder wederhoor."

Alles bij elkaar wekt dit de indruk dat het Europese privacytoezicht onvoldoende is…

"Nee, mensen willen iets anders, dat je snel en hard zegt: het is klote!"

Nou nee, maar wel ik heb Facebook maandenlang onderzocht en er is buitengewoon veel mist en er is opheldering nodig wat er met data gebeurt…

"Met enige regelmaat hoor je over Facebook: het is een schande wat daar gebeurt, maar zonder details. Ook de Oostenrijkse student kwam met allerlei zaken waarvan hij vond dat het niet deugde."

Max Schrems kreeg duizend pagina's met persoonsgegevens die Facebook over hem opgeslagen had. Kunt u met de nieuwe Verordening straks eisen dat Facebook dat niet meer doet?

"Dat kunnen gebruikers nu ook al eisen. Het probleem is dat er geen mogelijkheid is voor een club mensen om gezamenlijk een zaak te beginnen tegen Facebook in Europa...”

Nu is niet louter Facebook veroordeeld zoal Schrems aanvankelijk beoogde, en zijn niet de toezichthouders als het CBP grote verliezers ofschoon ze zelf Safe Harbour hadden kunnen aanvallen. Maar een generieke regeling waar Facebook en veel andere (ook Europese) bedrijven in goed vertrouwen (oftewel met enige oogkleppen op en/of gekruiste vingers) gebruik van maken. Door gegevens door te sluizen naar de VS maken alle bedrijven die zich onder Safe Harbour scharen zich kwetsbaar voor spionage in de VS en vordering van data onder Amerikaanse antiterrorismewetgeving. Dat is een belangrijker triomf, al is de vraag waartoe die leiden zal.

Met de nieuwe Privacyverordening die waarschijnlijk ingaat in 2017 wordt gezamenlijke actie door consumenten zoals Kohnstamm die noemt wel mogelijk, bijvoorbeeld onder de vlag van consumentenbonden. Burgers kunnen gaan eisen dat data in Europa blijven, maar de vraag is of dat enige garantie biedt dat inlichtingendiensten van de diverse overheden - ook de Europese partners van de NSA ! - er niet over zullen kunnen beschikken.