‘Swift’-akkoord nog steeds in strijd met Europese privacywetgeving

Het begin juni afgesloten akkoord tussen Europa en de USA betreffende de overdracht van financiële gegevens, is in strijd met de Europese privacywetgeving, aldus de gegevensbeschermingsauthoriteiten.

Het begin juni afgesloten akkoord tussen Europa en de USA betreffende de overdracht van financiële gegevens, is in strijd met de Europese privacywetgeving, aldus de gegevensbeschermingsauthoriteiten.

De eerste versie van het EU/USA akkoord in het kader van het Amerikaanse ‘Terrorist Finance Tracking Program’ (TFTP) werd begin dit jaar afgewezen, maar begin juni werd dan een tweede versie van dit akkoord – TFTP II, gemeenzaam gekend als het Swift-akkoord – dan toch getekend. In een brief aan een rits Europese gezagsdragers waarschuwen de ‘Groep gegevensbescherming Artikel 29’, de ‘werkgroep politie en justitie’ en het Europees Data Protectie Forum dat het huidige akkoord nog steeds in strijd is met de Europese privacywetgeving.

Teveel, te grof

Het TFTP II akkoord is ook gekend als het Swift-akkoord, omdat het voorizet in de overdracht van gegevens over financiële transacties naar de USA, in het kader van de terroristenbestrijding. Gegevens die zouden worden geleverd door het Swift bancaire netwerk. Volgens de gegevensbeschermingsauthoriteiten biedt het huidige akkoord onvoldoende duidelijkheid over de bescherming van de data uit de ‘Single Euro Payments Area’ (SEPA). De USA moet op dit punt duidelijke garanties bieden dat het inderdaad deze data niet middels een dagvaardiging zal opvragen. Voorts voorziet het akkoord in onvoldoende fijne filteringsmechanismen, zodat een vraag vanwege de USA zal resulteren in ‘bulk’-overdrachten van data waarvan niet zeker is of die allemaal wel pertinent zijn. Kortom, er zou al te veel data worden overgedragen (met mogelijk misbruik voor andere doeleinden), naast moeilijkheden en vertragingen bij eventuele controles op welke data precies werden overgedragen en hoe accuraat die wel zijn. Daarenboven zijn er onvoldoende garanties voor de nodige gegevensbescherming als de data worden doorgegeven aan andere organisaties in de USA.

De Europese gegevensbeschermingsauthoriteiten stellen uitdrukkelijk dat hun bevoegdheden tot controle en bescherming worden gekortwiekt, onder meer omdat de Amerikaanse overheden bepalen wat mag worden ingekeken. De Europese authoriteiten worden zo goed als tot een doorgeefluik gereduceerd, zonder de mogelijkheid om de naleving van de garanties inzake gegevensbescherming te controleren, klinkt het. Het voorziene alternatief – een controle door een Europese politie-authoriteit zoals Europol – wordt afgewezen wegens niet onafhankelijk.

De werkgroep wijst tevens op een onvoldoende garantie dat niet-Amerikaanse burgers een beroep kunnen aantekenen bij een Amerikaanse rechtbank.

De mededeling besluit met “de Europese gegevensbeschermingsauthoriteiten hebben besloten dat als het akkoord van kracht zou worden, dat zij dan zullen pogen ervoor te zorgen dat de ongefilterde (“bulk”) overdrachten en verdere doorgiften van gegevens deel uitmaken van de eerste gemeenschappelijke evaluatie. Zij willen er tevens voor zorgen dat de gegevens over strikt intern Europse financiële transacties, de zogeheten SEPA-gegevens, niet worden doorgegeven, omdat het akkoord in dit opzicht dubbelzinnig is.”

De inhoud van de brief kan je hier lezen.