Vandaag heeft het Hof van Justitie van de EU een brekend arrest gewezen op het gebied van privacy. In deze zaak – begonnen met een verzoek van de Oostenrijker Maximillian Schrems bij Facebook om inzage in de verwerking van persoonsgegevens door de sociale mediagigant – oordeelt het Hof dat de zogenaamd Safe Harbour overeenkomst tussen de Europese Commissie en de VS ongeldig is.

Gastblog van Wouter Dammers

Gevolg: de verwerking van persoonsgegevens door bedrijven in de VS van Europese burgers is in strijd met het recht op bescherming van persoonsgegevens en het recht op de bescherming van privacy. Ieder bedrijf in de VS zal momenteel zelf een overeenkomst moeten sluiten met de EU om een passend niveau van bescherming te kunnen bieden of de gegevens enkel in Europa gaan verwerken. Gebeurt dat niet, dan is de verwerking van persoonsgegevens onrechtmatig en dus niet toegestaan. Een ware privacybom in de Atlantische Oceaan.

Europese privacywetgeving

In Europa wordt de bescherming van persoonsgegevens en privacy onder meer geregeld in een speciaal Handvest voor Grondrechten en meer specifiek in een richtlijn. Privacy is dus een grondrecht. De Europese richtlijn is in iedere EU-lidstaat geïmplementeerd in nationale wetgeving. Zo kennen wij in Nederland de Wet bescherming persoonsgegevens (“Wbp”). In de richtlijn, en dus ook in onze eigen Wbp, staan de regels waaraan een verwerking van persoonsgegevens moet voldoen om de privacy van EU-burgers te beschermen.

Met de opkomst van het internet is de verwerking van persoonsgegevens ook steeds meer wijdverspreid geworden. Maak je gebruik van online diensten, dan is het heel goed mogelijk dat jouw persoonsgegevens niet meer in Nederland zijn, maar bijvoorbeeld worden opgeslagen op servers in de Verenigde Staten. Immers, de grootste techbedrijven ter wereld zijn daar gevestigd en de verwerking van gegevens vindt vaak daar plaats. Dit is alleen maar meer geworden met de opkomst van clouddiensten zoals dat van Google, Amazon en dergelijke.

Maar de VS zijn niet gebonden aan Europese regelgeving. De privacywetgeving die juist is bedoeld om de privacy van Europese burgers te beschermen heeft daar dus geen effect. En daarom is die verwerking in principe verboden: er wordt immers niet voldaan aan de EU-regels.

De VS als Safe Harbour

Toch kennen sommige landen privacyregels die vergelijkbaar zijn met die van de EU. In zulke landen kan dus ook een passend beschermingsniveau voor de privacy worden geboden. De VS hebben daarom zogenaamde “Safe Harbour Principles” opgesteld, waarin een aantal privacybeginselen staan opgesomd.
Op basis van die “Safe Harbour Principles” heeft de Europese Commissie besloten om ook de verwerking van persoonsgegevens in de VS toe te staan. Een bedrijf in de VS geldt als een “veilige haven” voor de verwerking van persoonsgegevens, mits het bedrijf zich stelt te houden aan de “Safe Harbour Principles”. Het besluit waarin deze goedkeuring is opgenomen staat bekend al de “Safe Harbour Decision”.

… en toen kwamen Snowden en Schrems

Maar hoe zit het dan met de grootschalige privacyschendende activiteiten van de Amerikaanse inlichtingendienst NSA, zoals door Edward Snowden aan het licht gebracht? De Safe Harbour beginselen zijn dan eigenlijk enkel gebakken lucht. Met name ook omdat de Safe Harbour Decision stelt dat VS-wetgeving de EU-regels kan ‘overrulen’.

Dat was reden voor Facebook-gebruiker Schrems om een bezwaar te maken tegen de doorgifte van persoonsgegevens door de Ierse vestiging van Facebook naar de Amerikaanse servers van het socialmediabedrijf. Schrems verzocht Facebook om inzage in de verwerking van zijn persoonsgegevens en kreeg te horen dat zijn gegevens “veilig” in de VS werden verwerkt – want “safe harbour”. Schrems was daarmee niet tevreden, en besloot stappen te ondernemen en een klacht in te dienen tegen Facebook.

De Europese Data Protection Commissioner stelde zich echter op het standpunt dat Schrems geen klacht kon indienen – want “safe harbour” – en heeft zijn klacht afgewezen. Daarop heeft Schrems een zaak aangespannen voor de Ierse “High Court” om dit besluit aan te vechten.

De High Court heeft vervolgens geoordeeld dat het publiek belang zou zijn gediend met de elektronische surveillance en onderschepping van persoonsgegevens die worden doorgegeven naar de VS. Echter, Ze tekent daarbij aan dat de armen van de NSA te ver reiken. De betrokken burgers hebben geen recht om gehoord te worden; het doel van de onbegrensde, ongespecificeerde onderschepping van gegevens staat niet in verhouding met de ernst van de inbreuk en mist een objectieve rechtvaardiging.

De High Court zet daarom vraagtekens bij het beschermingsniveau dat de Safe Harbour Decision behoort te geven, en meent daarom dat de Commissioner de klacht van Schrems wel had moeten behandelen.

Bovendien meent de High Court dat de eigenlijke klacht van Schrems erop ziet dat de Safe Harbour Decision ongeldig moet worden verklaard. Maar omdat het daarbij om EU-recht gaat, en de Ierse rechter de overeenkomst van de Commissie niet zelf ongeldig kan verklaren, verwijst de High Court de zaak naar het Hof van Justitie van de Europese Unie.

De High Court vraagt het Hof om te oordelen of de klacht ten aanzien van doorgifte van persoonsgegevens naar derde landen wel mocht worden afgewezen.

EU Hof oordeelt dat Safe Harbour besluit ongeldig is

En het Hof pakt die gelegenheid maar al te graag aan. Het Hof gaat uitvoerig in op de wettelijke kaders, waarbij met name wordt gekeken naar de (on)mogelijkheid van EU-burgers om te klagen tegen de doorgifte van persoonsgegevens naar derde landen. Daarbij merkt ze op dat ieder besluit van de Europese instellingen getoetst moet worden aan de relevante verdragen, rechtsbeginselen en grondrechten, maar dat die toetsing alleen kan en mag plaatsvinden door het Hof. In dat kader acht het Hof het dan ook noodzakelijk om te oordelen over de geldigheid van de Safe Harbour Decision.

Het Hof laat er geen gras over groeien en maakt korte metten met het besluit van de Europese Commissie. Het Hof meent dat de Commissie rekening moest houden met het privacyraamwerk enerzijds en anderzijds met omstandigheden die zich hebben voorgedaan sinds het nemen van het besluit om een derde land als “veilige haven” aan te merken. Daarbij wijst het Hof er ook op dat het voor de inlichtingendiensten in de VS gewoon mogelijk is om de persoonsgegevens te onderscheppen, ongeacht de EU-privacyregels, en dat daartegen geen bescherming mogelijk is voor EU-burgers. De overheidsinstellingen van de VS zijn in de mogelijkheid om persoonsgegevens te onderscheppen en ze te verwerken voor doeleinden die in strijd zijn met het doel waarvoor de gegevens waren verkregen. De verwerking in het kader van de nationale veiligheid is bovendien onevenredig en onnodig verklaard. De Safe Harbour Decision wordt daarmee ongeldig verklaard.

Een heuse privacybom in de Atlantische Oceaan

Het gevolg van het arrest is dat persoonsgevens van EU-burgers niet veilig zijn in de VS. De VS is immers geen “veilige haven” voor de verwerking van persoonsgegevens. Bovendien is massasurveillance in strijd met het recht op bescherming van de privacy. Daarnaast moeten burgers zelf bezwaar kunnen maken tegen de doorgifte.

Het arrest is het derde, stevige signaal van het Europese Hof van Justitie dat er niet lichtvaardig mag worden omgegaan met persoonsgegevens. Eerder werd Google verplicht gehoor te geven aan het “recht om vergeten te worden” en werd de Richtlijn Bewaarplicht ongeldig verklaard. Bovendien wordt de Europese Commissie weer flink op de vingers getikt.

Amerikaanse bedrijven krijgen een flinke klap in het gezicht van het Hof. Verwerking van persoonsgegevens van EU-burgers in de VS mag niet langer. Vanwege de verboden verwerking lopen zij nu het risico op flinke boetes. De bedrijven zullen er nu zelf voor moeten zorgen dat zij – alsnog – de gegevens mogen verwerken. Een heuse privacybom die nog de nodige gevolgen zal hebben…

Geverifieerd door MonsterInsights