Sinds enkele weken berichten internationale zakenkranten over vervolgingen tegen bedrijven in de Verenigde Staten op grond van de (Amerikaanse) privacyregels. Op 6 oktober 2009 maakte de Federal Trade Commission (FTC) – in de VS verantwoordelijk voor toezicht op handelspraktijken – bekend dat ze optrad tegen zes ondernemingen die valse informatie hadden gepubliceerd over hun inschrijving op de safe harbor list. Een week eerder had de FTC om dezelfde reden al een ander bedrijf vervolgd (Kryptonite). Het gaat daarbij telkens over bedrijven die verklaard hebben dat ze strikte regels naleven bij de verwerking van persoonsgegevens die uit Europa worden geïmporteerd. Op grond van een dergelijke schriftelijke verklaring, worden die bedrijven dan opgenomen op een lijst (te bekijken op www.export.gov/safehrbr/list.aspx).

De regeling is een gevolg van onderhandelingen die destijds werden gevoerd tussen de Europese Commissie en de Amerikaanse regering. Die onderhandelingen waren het gevolg van de strikte regels die in Europa zijn uitgevaardigd over de export van persoonsgegevens naar landen buiten de EU. Persoonsgegevens – bijv. informatie over werknemers, consumenten, netwerkgebruikers, enz. – mogen enkel naar niet-EU-landen die een privacywetgeving hebben die min of meer vergelijkbaar is met die in Europa. Voor de Verenigde Staten werd een (beperkte) uitzondering toegestaan. Als resultaat van een bilateraal akkoord werd overeengekomen om bedrijven vrijwillig te laten toetreden tot een safe harbor. Indien ze beloven dat ze op persoonsgegevens uit Europa min of meer dezelfde strikte regels zullen toepassen als deze die in de EU gelden, komen ze op de safe harbor list. Met de bedrijven op die lijst kan men dan zonder meer vanuit Europa persoonsgegevens uitwisselen. Het succes van de regeling is tot dusver echter beperkt te noemen: acht jaar na de opening ervan (in 2001) hebben zo’n 1.300 ondernemingen de lijst onderschreven.

De registratie op de safe harbor list moet door de bedrijven jaarlijks worden hernieuwd. De zes bedrijven die vervolgd worden, waren dit vergeten zodat hun inschrijving vervallen was. Niettemin bleven zij via hun website verkondigen dat ze tot de safe harbor-bedrijven behoorden.

Op de Europese exportregeling in verband met persoonsgegevens komt meer en meer kritiek. Om te beginnen zijn de regels zeer moeilijk te handhaven. Via het internet stromen dagelijks miljoenen gegevens de hele wereld rond. Er is geen Europese douane of privacypolitie die kan nagaan of dat allemaal wel wettelijk in orde is.

Bovendien zijn de regels ook niet zeer duidelijk. Dat is gebleken in de zaak Lindqvist. Mevrouw Lindqvist was een Zweedse dame die vrijwilligerswerk deed in haar parochie. Daarnaast volgde zij ook een computercursus. In dat kader moest zij een website leren maken en zij koos ervoor om een persoonlijke website te maken met nieuws over de parochie. Naast allerlei berichtjes vermeldde zij onder meer ook dat voor het parochiewerk eerstdaags wellicht geen beroep kon worden gedaan op haar collega-vrijwilligster omdat die nog altijd pijn had in haar knie. Met die informatie werd de website op het internet gezet.

De Zweedse privacycommissie gebruikte het geval als testcase. Mevrouw Lindqvist werd vervolgd wegens schending van de privacywetgeving en de rechters legden uiteindelijk de zaak voor aan het Europees Hof van Justitie in Luxemburg. Aan de Europese rechters werd o.m. gevraagd of een website met gezondheidsinformatie (kniepijn), die via het internet uiteraard overal in de wereld raadpleegbaar is, als “export van persoonsgegevens” beschouwd moest worden. In deze zaak heeft het Hof die vraag uiteindelijk negatief beantwoord, met het argument dat de informatie in het Zweeds op een Zweedse server stond en het niet de bedoeling was om de gegevens buiten Zweden beschikbaar te stellen. De beslissing dateert al van 2003 maar nog altijd wordt er onder juristen over gedebatteerd. De Europese exportregeling voor persoonsgegevens heeft ook veel kritiek geoogst omdat sommigen het hanteren als een negatief voorbeeld van de trage Europese bureaucratie. Toen de regel in 1995 werd uitgevaardigd, was het de bedoeling dat de Europese Commissie een lijst zou creëren van “goede” landen met een adequate privacywetgeving. Bijna vijftien jaar later staan op die lijst een vijftal landen: Argentinië, Canada, Zwitserland, Guernsey en … het eiland Man.

Het mag als een waarschuwing beschouwd worden dat nu ook in de Verenigde Staten voor het eerst wordt opgetreden tegen bedrijven die de ‘safe harbor’ afspraken niet nakomen. Het lijkt erop dat de Obama-administratie op dit punt een positief gebaar wil stellen tegenover de Europese partner. Voor Europa is het een stimulans om dit hoofdstuk opnieuw ernstig te nemen.

Over de praktische toepassing van de privacywetgeving in België in diverse sectoren – direct marketing, gezondheid, werkplaats, sociale zekerheid, politie en veiligheid, media, wetenschappelijk onderzoek, e.a. – is onlangs een boek gepubliceerd door Hans Graux en Jos Dumortier, Privacywetgeving in de praktijk, Kortrijk, Uitgeverij UGA, 439 blz, 55 euro (met voorwoord van Minister Vincent Van Quickenborne),www.uga.be

Jos Dumortier

Persoonsgegevens mogen enkel naar niet-EU-landen die een privacywetgeving hebben die min of meer vergelijkbaar is met die in Europa.