Op 16 juli jongstleden heeft het HvJ in de zogenoemde Schrems II zaak een belangrijke uitspraak gedaan over doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER) naar de Verenigde Staten. Om de bescherming/doorgifte van persoonsgegevens buiten Europa te kunnen garanderen heeft de samenwerking Europese Unie (EU) – Verenigde Staten (VS), het raamwerk Privacy Shield opgetuigd. De voorganger hiervan was Safe Harbour en privacy-activist Schrems had daar ook al zijn terechte bedenkingen bij waardoor er op 6 oktober 2015 een einde kwam aan de ‘Not so Safe Harbour.’
De Europese Commissie kan aan derde landen, een bepaald gebied of aan een bepaalde sector een adequaatheidsbesluit toewijzen (art. 46 AVG). Dit betekent dat de Commissie van mening is dat het derde land een passende beschermingsniveau hanteert, waardoor doorgifte van persoonsgegevens naar dat land voldoet aan het beschermingsniveau die vergelijkbaar is met die van de EU.
Het vereiste beschermingsniveau in de VS voor Europese betrokkenen (data subjecten) kan kort gezegd niet worden gegarandeerd, omdat Amerikaanse inlichtingendiensten op grond van nationale veiligheid de persoonsgegevens van Europeanen mogen inzien. De praktijk op dit moment is dat miljoenen Europeanen persoonsgegevens delen met onder andere Facebook, Google en Apple: techgiganten die in Europa economische activiteiten uitvoeren, maar hun hoofdkantoor hebben staan in de VS. de National Security Agency (NSA) bijvoorbeeld krijgt dus op grond van nationale veiligheid toegang bij Facebook tot Europese persoonsgegevens. Daarbij komt nog een argument waardoor een passende beschermingsniveau ontbreekt; de toegang tot judiciële (rechts)middelen in de VS is uitgesloten. Een Europeaan heeft geen toegang tot de Amerikaanse rechter op het moment de betrokkene vindt dat zijn Europees grondrecht (artikel 8 Handvest van de Europese Unie) – namelijk de bescherming van zijn of haar persoonsgegevens – is geschonden.
Al met al een schrijnende inbreuk op de bescherming van Europese persoonsgegevens. Een inbreuk die al aan het licht kwam bij de “Snowden-affaire”. Met het gegeven dat de gemiddelde Europese burger en vrijwel elk Europees bedrijf gebruik maakt van Social Media en/of van een Cloudoplossing van respectievelijk Facebook of Google, blijven Europese persoonsgegevens vatbaar om in handen van de Amerikaanse Inlichtingendiensten te komen.
De hiervoor genoemde techbedrijven zouden met Standaard Contractuele Clausules (SCC) op grond van artikel 46 AVG het beschermingsniveau kunnen garanderen. Een voorwaarde is dat er geen conflicterende wetgeving aanwezig mag zijn. In de VS is dit dus niet het geval vanwege de Amerikaanse Patriot Act en de federale bevoegdheid om deze SCC’s zonder pardon opzij te zetten. De techbedrijven kunnen deze contractuele verplichtingen, althans de waarborg om Europese persoonsgegevens te beschermen dus niet nakomen.
Naast dat dit een Europeesrechtelijk probleem is, is dit misschien nog wel meer een politiek probleem. Om nou Facebook of Google een draai om de oren te geven op grond van de AVG, wat ongetwijfeld een lekkere duit in de zak oplevert, betekent het niet dat de VS nu zijn Surveillance act gaat hervormen. Naast dat de VS een politieke wereldmacht is, zijn wij ook nog eens voor een groot deel afhankelijk gemaakt van techbedrijven zoals Facebook en google. Niettemin dragen deze enorme techbedrijven een verantwoordelijkheid om Europese gebruikers, bedrijven en ook de Europese Commissie hierover te informeren. Vandaar ook een terechte overwinning voor Schrems na jarenlang procederen.
Maar hoe moet het nou verder? Hoe kunnen wij nog onze persoonsgegevens beschermen bij doorgifte aan de VS?
Vanwege de uitspraak van het HvJ in Schrems II is het raamwerk Privacy Shield dus niet meer als adequaat te bestempelen en kunnen de SCC-afspraken met Amerikaanse bedrijven gewoonweg niet worden nageleefd. Bedrijven hebben de verplichting om in duidelijke en begrijpbare taal te informeren over hoe zij persoonsgegevens verwerken en beschermen. Het is een verantwoordelijkheid van die bedrijven en van de Autoriteit Persoonsgegevens (AP) om klanten en de burgers te informeren over de onderhavige ontwikkelingen.
Wat je als bedrijf kan doen is bijvoorbeeld de klant op de hoogte stellen door de privacyverklaring te wijzigen en deze wijziging kenbaar te maken via een e-mail. Hierbij geef je aan dat er een beveiligingsrisico bestaat bij de doorgifte van Europese persoonsgegevens aan de VS in zoverre dat een Amerikaanse Inlichtingendienst mee kan kijken bij bijvoorbeeld Facebook of Google. Op deze manier voldoe je aan de informatieplicht naar de betrokkene toe en laat je de klant zelf de afweging maken of het risico acceptabel is.
Tot hoever rijkt de verantwoordelijkheid van Europese bedrijven? Kun je als bedrijf meer doen dan je klanten informeren over de ontwikkelingen? Simpelweg even van software wijzigen aangaande kritische bedrijfsprocessen, zodat persoonsgegevens niet meer in de VS worden verwerkt is (voor de meeste bedrijven) niet realistisch: de hedendaagse afhankelijkheden van dergelijke Techgiganten zijn te groot.
Daarnaast ligt er misschien nog wel een grotere verantwoordelijkheid bij de Europese Commissie om enerzijds Facebook te wijzen op contractuele verplichtingen vanuit de AVG en anderzijds om een keer goed het gesprek te voeren met de Amerikaanse overheid over handel en privacy voor wat betreft de Europese burgers.
Indien je behoefte hebt om meer te weten te komen over de Oostenrijkse privacy activist Max Schrems en zijn juridische acties tegen onder andere Facebook, klik dan op onderstaande link. Hier lees je ook de samenvatting en zijn kijk op de recente uitspraak van het HvJ.
Auteur: Rik Gerritsen