Bedrijven wachten al sinds 2020 op een wettelijk kader om persoonsgegevens van Europese burgers naar de Verenigde Staten te sturen. Europese privacyregels zijn echter moeilijk verzoenbaar met Amerikaanse wetten. Dus leggen politici nu de laatste hand aan een akkoord dat naar alle waarschijnlijkheid wat later opnieuw vernietigd zal worden.
Vanaf de lente zal er opnieuw een wettelijk kader zijn om gegevens over Europese burgers naar Amerika te sturen. De regulering bestond in het verleden al op twee momenten, maar moest steeds herzien worden omdat niet aan alle Europese wetgeving van gegevensbescherming voldaan was.
Lisa De Smet, hoofdadviseur gegevensbescherming bij Cranium, verwacht niet dat het aankomende Privacy Shield een controle van het Hof van Justitie van de EU doorstaat: “Ik verwacht dat het kader opnieuw wordt aangevochten omdat er in essentie weinig is gewijzigd.”
GDPR-kwestie
Het trans-Atlantisch kader moet Europese regels verzoenen met de Amerikaanse grondwet. Heel wat principes uit beide wetgevingen staan alleen haaks op elkaar, wat de situatie erg complex maakt. “Er is veel meer tijd nodig om tot een akkoord te komen dat zonder problemen langs het Europees Hof van Justitie passeert. De Amerikaanse grondwet verander je gewoon niet van vandaag op morgen.”
Er is veel meer tijd nodig om tot een akkoord te komen dat zonder problemen langs het Europees Hof van Justitie passeert.
Lisa De Smet, hoofdadviseur gegevensbescherming bij Cranium
Dat bewees het verleden al. Persoonsgegevens verzenden naar de VS was voor 2020 namelijk mogelijk door het Privacy Shield. In het Hof van Justitie van de EU vernietigde Schrems II het wettelijk kader. Het arrest kreeg de naam van de aanklager, Max Schrems. Dezelfde persoon die ook de voorloper van het Privacy Shield liet nietig verklaren in 2015.
Beide wettelijke kaders sneuvelden in de rechtbank doordat ze privacyregels van lidstaten van de EU schonden. Deze privacyregels zijn uiteindelijk samengebracht onder de GDPR, dat dienst doet als instrument van de EU om economische grootmachten uit de technologische wereld in toom te houden.
De Smet verklaart waarom de regels in deze kwestie belangrijk zijn: “De GDPR heeft een extraterritoriale werking. Dit houdt in dat het doorsturen van gegevens buiten de Europese economische ruimte alleen kan in overeenstemming met de GDPR. Anders ben je in overtreding.” Probleem voor de wettelijke kaders is dat bedrijven door Amerikaanse wetgeving nooit kunnen garanderen dat Europese gegevens beschermd zijn van overheidsspionage in de VS.
Spionageprobleem
Door druk van buitenaf is er alleen niet de tijd om eerst de onderliggende regels af te stemmen. Voor bedrijven kan een nieuw wettelijk kader er namelijk niet snel genoeg komen. Zonder een geldig wettelijk kader mogen Amerikaanse bedrijven data van Europese klanten niet in hun Amerikaanse datacenters opslaan. Sommigen maken dat duidelijk door druk uit te oefenen en rond te strooien met loze dreigementen om hun socialemediadiensten uit Europa weg te halen.
Dat Amerikaanse bedrijven graag vaart achter de lopende zaken zetten, verwondert De Smet niet. Zij hebben namelijk niet de mogelijkheid om rond het probleem heen te werken. “Er wordt wel eens gedacht dat een datacentrum in Europa de oplossing is. Amerikaanse bedrijven blijven echter ook in dat geval onder de Amerikaanse wetgeving vallen. Het blijft dus mogelijk dat zij vragen om een achterpoortje waarlangs zij kunnen spioneren.”
Loont langer nadenken?
Biden gaf dan maar gehoor aan de wensen van bedrijven uit zijn land en besloot eind vorig jaar terug vaart te brengen in het hele proces. President Joe Biden ondertekende op zeven oktober een uitvoerend bevel dat de overdracht van data van Europese burgers naar Amerikaanse datacentra weer mogelijk moet maken. Het document zet de afspraken die Washington en Brussel eerder dit jaar maakten op papier.
Het nieuwe kader belooft de voornaamste struikelblokken uit het vorige Privacy Shield aan te pakken. Zo zouden er strengere criteria komen over welke data precies de oversteek naar Amerikaans grondgebied mag maken en zal deze beter worden afgeschermd tegen inlichtingendiensten. Ook zal er een onafhankelijk controleorgaan worden opgericht voor EU-burgers die zich zorgen maken over hun privacy.
Al zijn de aanpassingen voor critici niets anders dan politiek gegoochel. Max Schrems haalde in een blog al fors uit naar het akkoord. Volgens hem vermomt het voorstel achterpoortjes om surveillance van Europese burgers mogelijk te maken met vage termen. Ook vindt hij het controleorgaan niet meer dan een schijnrechtbank.
“Aangezien het ontwerpbesluit is gebaseerd op het bekende uitvoeringsbesluit, zie ik niet in hoe dit een beroep bij het Hof van Justitie kan overleven”, zegt Max Schrems in een verklaring. “Het lijkt er op dat de Europese Commissie keer op keer dezelfde besluiten neemt, in flagrante strijd met onze grondrechten.”
Ik vrees dat de onderhandelingen voornamelijk politiek gestuurd worden.
Lisa De Smet, hoofdadviseur gegevensbescherming bij Cranium
Volgens De Smet kiest Europa voor een akkoord waarmee het door één deur kan blijven gaan met de VS. “Het akkoord is eerder een toegeving aan de VS, ik vrees dat de onderhandelingen voornamelijk politiek gestuurd worden. De GDPR fungeert in een wereld waarin heel veel andere zaken spelen. Denk bijvoorbeeld aan economische belangen, want het is wel belangrijk dat de handel gedreven tussen Amerika en Europa mogelijk blijft.”
Europa toont zijn tanden niet
Het akkoord wordt verwacht in de lente van 2023. Data versturen naar de VS kan dan opnieuw volgens de regels van dit wettelijk kader. De strijdlustige belangengroep nyob van Max Schrems kan het wettelijk kader vanaf de publicatie opnieuw aanvechten. Slaagt de belangengroep erin om het kader opnieuw te laten vernietigen, dan start de sage opnieuw.
Veel hoop voor het akkoord is er niet. Europese leiders kunnen daar niets meer aan veranderen aangezien de zaken al te ver zijn geëvolueerd. “Er is al een ontwerp adequaatheidsbesluit opgesteld dus eigenlijk bevinden we ons in de laatste fase”, besluit De Smet.