Matthias Dobbelaere-Welvaert

Over and Out. Je data mag niet meer op reis in de V.S.

Matthias Dobbelaere-Welvaert directeur en privacyactivist bij 'the Ministry of Privacy'.

6 oktober 2015. Het zal gekend staan, tenminste onder ICT-juristen, als een historische dag waarop het Europees Hof van Justitie eindelijk een duidelijke halt toeroept datatoerisme tussen de Europese Unie en de Verenigde Staten. Het einde van de ‘safe harbour’. Met dank trouwens aan de Oostenrijkse rechtenstudent Max Schrems, die al een tijdje bezig is aan een kruistocht tegen Facebook.

Onder niet-juristen zal de dag echter wellicht snel vergeten zijn. Het maakt voor veel ondernemers en particulieren niet uit waar precies hun data staat. Een beetje onterecht, want in tijden waar data amper nog lokaal wordt bewaard, en alles in de cloud terechtkomt, zou iedereen te allen tijde moeten weten waar zijn gegevens bewaard worden. Kennis is macht, en daar hoort ook controle van die kennis bij.

Het Europees Hof van Justitie heeft dus de Safe Harbour-beschikking ongeldig verklaard. De vraag rest wat dit nu precies inhoudt voor Jan Modaal of een Belgische onderneming, en wat de mogelijke gevolgen zijn.

Wat is de Safe Harbour?

Om de ongeldigverklaring van de Safe Harbour-beschikking te begrijpen dient in eerste instantie de inhoud van de overeenkomst (want dat is het, een overeenkomst) worden toegelicht. De Europese Unie, mede onder impuls van verschillende werkgroepen zoals de ‘Article 29 Working Party’, streeft al enkele jaren naar een strengere en meer uitgebreide privacywetgeving en -reglementering. De nieuwe wetgevende stappen die de EU neemt ten opzichte van organisaties, zowel commercieel als overheid, zijn niet mals. ‘The right to be forgotten‘, waarbij de burger steeds de mogelijkheid heeft om aan een organisatie of bedrijf te vragen al zijn gegevens te wissen, is zo’n voorbeeld waar de EU soms te ver wil gaan in de bescherming van de privacy.

Je data mag niet meer op reis in de V.S.

Volgens de Europese richtlijnen mogen persoonsgegevens (een persoonsgegeven is elk gegeven dat kan terugleiden naar een natuurlijk persoon) enkel naar een land (of staat) buiten de Europese Unie worden doorgegeven indien die entiteit minimaal een even strikte privacywetgeving waarborgt. We spreken wel over een ‘land of staat’, maar eigenlijk kijkt iedereen naar de Verenigde Staten, waar het begrip en waarde van privacy al jarenlang aan het verwateren is, grotendeels dankzij een politiek waar repressie en controle van criminaliteit voorrang krijgt.

De Verenigde Staten is evenwel niet zomaar de eerste de beste partij. De Europese Unie houdt met de V.S. intensieve economische betrekkingen op na. En zoals steeds heeft een partij die verantwoordelijk is voor een groot deel van het inkomen altijd een grotere zeg dan zij die zonder dat financieel voordeel.

‘Safe Harbour’ moest een compromis worden tussen het overbezorgde EU en de V.S.

‘Safe Harbour’ zag het levenslicht in 2000. Het moest een compromis worden tussen het overbezorgde EU en de V.S. die heel wat tegengestelde belangen over privacy had. De Europese Commissie kwam daarom met de Verenigde Staten overeen dat gegevensverkeer tussen bedrijven in de EU, en bedrijven in de V.S., flexibel kon worden geregeld, zij nog steeds aan bepaalde principes en veiligheidsmaatregelen (de Safe Harbour Principles).

Grote jongens als Facebook, Google, Apple en een groot aantal Amerikaanse ondernemingen staan op de lijst met bedrijven die voldoen aan deze principes en boden bijgevolg een zeker beschermingsniveau.

Het Europees Hof van Justitie beslist nu echter, vanzelfsprekend tot groot jolijt van privacyactivisten, dat diezelfde Safe Harbour-beschikking de privacy van de Europeaan onvoldoende beschermt. Kritiek op de Safe Harbour was overigens niet nieuw. Er was reeds lang sprake dat de maatregelen onvoldoende bescherming boden, en ook niet nauwgezet werden opgevolgd. Het is moelijk om niet te denken aan Snowden en het PRISM-afluisterschandaal, waarbij de Amerikaanse inlichtingendienst NSA gegevens verzamelde van internetgebruikers over de hele wereld.

Wat zijn nu de gevolgen?

Aan de ene kant staan de Amerikaanse en Europese bedrijven. Populaire diensten als Facebook en Apple maken al jarenlang zonder veel probleem gebruik van deze overeenkomst om Europese persoonsgegevens te verwerken. Dit komt in gedrang, aangezien diezelfde bedrijven nu zullen moeten onderhandelen met Europese Privacycommissies (zijnde commissies uit elke lidstaat – wat onwerkbaar zou zijn. Wellicht wordt er dus een gezamenlijke opinie en aansluitsysteem op Europees niveau uitgewerkt). Dergelijke onderhandelingen kunnen echter makkelijk maanden aanslepen.

De andere zijde van de medaille, zijn onze Belgische en Europese ondernemingen. Zij krijgen opeens het voordeel een bevoorrechte partij te zijn wanneer het gaat om verwerking van persoonsdata. Het spreekt voor zich dat het niet lang zal duren eer een partij opduikt die deze ganse saga in haar marketing weet te gebruiken (“uw data is veilig hier“).

Het is bij datadiefstal veel makkelijker een Europees dan een Amerikaans bedrijf aan te spreken

Maar wat voor de burger? Heeft die hier eigenlijk iets aan? Als burger, en dat zijn we nu eenmaal allemaal, hebben we wellicht nog het meest voordeel aan deze uitspraak. De bekende uitspraak dat, als je niks te verbergen hebt, je ook niet hoeft te vrezen voor je privacy, is idioterie – en wellicht uitgevonden door lobbyisten die zo min mogelijk van privacy moeten hebben. Want zelfs al heb je niks te verbergen (en wie kan dat nog zeggen), dan heb je er nog steeds baat bij dat je persoonlijke gegevens en data geen toerist spelen op servers in de Verenigde Staten. Europese persoonsgegevens dienen Europees te worden bewaard. Het dient de rechtszekerheid (het is bij een datadiefstal of -manipulatie nu eenmaal veel makkelijker een Europees dan een Amerikaans bedrijf aan te spreken), en het dient ook de gemoedsrust, wetende dat je data wel niet lokaal staat, maar nog steeds binnen de grenzen van de EU.

Conclusie.

De grote meerderheid zal er niet om malen. Zij gaan voor zo goedkoop mogelijke oplossingen om data te bewaren. Dat is menselijk, maar daarom niet verstandig. We schaffen dure alarmsystemen aan op onze huizen, kantoren en wagens. We beveiligen (en spenderen daar een aardige duit aan) waar we kunnen. Maar waar fysieke eigendom plots virtueel wordt, haakt de meerderheid af. Nochtans wordt het dringend tijd om te realiseren dat de waarde van data (en dus virtuele eigendom) weleens veel hoger zou kunnen liggen dan we allemaal inschatten. Persoonsgegevens worden alsmaar meer een currency, en die zie ik liever verzilverd in Euro, dan in Dollar.

Deze opinie werd geschreven door Matthias Dobbelaere-Welvaert, managing partner bij deJuristen/lesJuristes, en professor Copyright & Mediarights aan de Erasmus Hogeschool, met medewerking van Hannah Savels, legal assistant bij deJuristen.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content