Het hoogste Europese gerechtshof heeft donderdag een uitspraak gedaan in de zaak Schrems II, rond datastromen tussen de EU en de VS. Het zegt daarbij dat bedrijven die persoonlijke gegevens van de EU naar andere wettelijke regio's sturen, dezelfde garanties rond privacy moeten geven als in de EU zelf. Het huidige verdrag dat daarover bestaat, biedt niet genoeg garanties, aldus het Hof.

In de praktijk wordt met de uitspraak het Privacy Shield geschrapt, een overeenkomst tussen de EU en de VS die het mogelijk moet maken dat bedrijven als Facebook persoonsgegevens transfereren. Dat Privacy Shield is op zich al een stoplap die uitgedokterd werd nadat een eerdere overeenkomst, Safe Harbour, door hetzelfde hooggerechtshof ongeldig werd verklaard.

Safe Harbour en Privacy Shield

De originele zaak werd in 2013 gestart door privacy-activist Max Schrems, die niet wilde dat zijn gegevens op Amerikaanse servers terechtkwamen. Hij argumenteerde dat de Amerikaanse wetten niet genoeg bescherming bieden voor de privacy van Europese burgers. Hij baseerde zich daarvoor deels op de lekken van Edward Snowden, en op voorbeelden van Amerikaanse bedrijven als Facebook die data zouden misbruiken. In zijn rechtszaak viseerde Schrems vooral Facebook, en gezien het Europese hoofdkwartier van de techgigant in Ierland ligt, de Ierse gegevensbeschermingsautoriteit.

De rechtszaak kwam uiteindelijk terecht bij het Europees Hof dat in 2015 besloot dat Safe Harbour, de regelgeving die transfers van data tussen EU-landen en Amerikaanse bedrijven moet mogelijk maken, ongeldig is. De overeenkomst gaf niet genoeg garanties om Europese burgers te beschermen, aldus het hof.

Als antwoord daarop kwam er enkele maanden later Privacy Shield, een nieuwe overeenkomst tussen de EU en de VS die alsnog transfers van data mogelijk moet maken. Maar Max Schrems was nog niet klaar met Facebook, dus moest het Europees Hof zich ook over dat Privacy Shield buigen. In een vervolguitspraak geeft het Europees Hof vandaag aan dat ook dit nieuwe verdrag niet genoeg garanties geeft, en dus niet meer geldig is. Willen landen of bedrijven van buiten de EU de gegevens van EU-burgers verwerken, dan moeten ze eenzelfde niveau van privacy-garanties geven. Andere landen moeten dus even streng zijn als de GDPR, of persoonsgegevens binnen de EU houden.

Max Schrems., Reuters
Max Schrems. © Reuters

Wat nu?

De uitspraak heeft mogelijk politieke gevolgen. De kans zit er altijd in dat iemand als president Donald Trump dit als de start van een handelsoorlog ziet. Daarnaast heeft de uitspraak echter vooral gevolgen voor bedrijven zoals Facebook en Google, die een zakenmodel maken van het verwerken van persoonsgegevens. Als zij hun persoonsgegevens al niet in de EU houden, moeten ze nu alvast stoppen met het overzetten van de data naar servers in andere landen.

Voor enkele bedrijven is er wel nog een uitweg. In de periode tussen Safe Harbour en Privacy Shield zijn veel Amerikaanse bedrijven die in Europa werken overgeschakeld op 'Standard Contractual Clauses' of SCC's. Het gaat daarbij over individuele contracten tussen bedrijven die de transfer van data mogelijk maken. Die SCC's blijven wel gelden, al meldt het Hof dat ze 'effectieve mechanismen' moeten bevatten om ervoor te zorgen dat de GDPR wordt nageleefd. Techbedrijven die gegevens vanuit de EU overzetten, krijgen ook de plicht om deze contracten uit te pluizen, en er zeker van te zijn dat ze aan de regels voldoen.

Het hoogste Europese gerechtshof heeft donderdag een uitspraak gedaan in de zaak Schrems II, rond datastromen tussen de EU en de VS. Het zegt daarbij dat bedrijven die persoonlijke gegevens van de EU naar andere wettelijke regio's sturen, dezelfde garanties rond privacy moeten geven als in de EU zelf. Het huidige verdrag dat daarover bestaat, biedt niet genoeg garanties, aldus het Hof.In de praktijk wordt met de uitspraak het Privacy Shield geschrapt, een overeenkomst tussen de EU en de VS die het mogelijk moet maken dat bedrijven als Facebook persoonsgegevens transfereren. Dat Privacy Shield is op zich al een stoplap die uitgedokterd werd nadat een eerdere overeenkomst, Safe Harbour, door hetzelfde hooggerechtshof ongeldig werd verklaard. De originele zaak werd in 2013 gestart door privacy-activist Max Schrems, die niet wilde dat zijn gegevens op Amerikaanse servers terechtkwamen. Hij argumenteerde dat de Amerikaanse wetten niet genoeg bescherming bieden voor de privacy van Europese burgers. Hij baseerde zich daarvoor deels op de lekken van Edward Snowden, en op voorbeelden van Amerikaanse bedrijven als Facebook die data zouden misbruiken. In zijn rechtszaak viseerde Schrems vooral Facebook, en gezien het Europese hoofdkwartier van de techgigant in Ierland ligt, de Ierse gegevensbeschermingsautoriteit. De rechtszaak kwam uiteindelijk terecht bij het Europees Hof dat in 2015 besloot dat Safe Harbour, de regelgeving die transfers van data tussen EU-landen en Amerikaanse bedrijven moet mogelijk maken, ongeldig is. De overeenkomst gaf niet genoeg garanties om Europese burgers te beschermen, aldus het hof. Als antwoord daarop kwam er enkele maanden later Privacy Shield, een nieuwe overeenkomst tussen de EU en de VS die alsnog transfers van data mogelijk moet maken. Maar Max Schrems was nog niet klaar met Facebook, dus moest het Europees Hof zich ook over dat Privacy Shield buigen. In een vervolguitspraak geeft het Europees Hof vandaag aan dat ook dit nieuwe verdrag niet genoeg garanties geeft, en dus niet meer geldig is. Willen landen of bedrijven van buiten de EU de gegevens van EU-burgers verwerken, dan moeten ze eenzelfde niveau van privacy-garanties geven. Andere landen moeten dus even streng zijn als de GDPR, of persoonsgegevens binnen de EU houden.De uitspraak heeft mogelijk politieke gevolgen. De kans zit er altijd in dat iemand als president Donald Trump dit als de start van een handelsoorlog ziet. Daarnaast heeft de uitspraak echter vooral gevolgen voor bedrijven zoals Facebook en Google, die een zakenmodel maken van het verwerken van persoonsgegevens. Als zij hun persoonsgegevens al niet in de EU houden, moeten ze nu alvast stoppen met het overzetten van de data naar servers in andere landen. Voor enkele bedrijven is er wel nog een uitweg. In de periode tussen Safe Harbour en Privacy Shield zijn veel Amerikaanse bedrijven die in Europa werken overgeschakeld op 'Standard Contractual Clauses' of SCC's. Het gaat daarbij over individuele contracten tussen bedrijven die de transfer van data mogelijk maken. Die SCC's blijven wel gelden, al meldt het Hof dat ze 'effectieve mechanismen' moeten bevatten om ervoor te zorgen dat de GDPR wordt nageleefd. Techbedrijven die gegevens vanuit de EU overzetten, krijgen ook de plicht om deze contracten uit te pluizen, en er zeker van te zijn dat ze aan de regels voldoen.