Het EU US Privacy Shield is nog steeds gatenkaas
Vandaag heeft de Europese Commissie het concept EU US Privacy Shield gepubliceerd. Dit moet het Safe Harborbesluit vervangen, waar eerder een dikke streep door werd gezet. Maar het Shield is net zo lek als het Safe Harborbesluit. Klinkt dit allemaal als mumbo jumbo? We leggen het je in een paar stappen uit, want uiteindelijk gaat dit allemaal over jouw dagelijks internetgebruik.
Hoe zit het?
Op basis van de Europese privacyregels mogen persoonlijke gegevens niet zomaar naar landen buiten de Europa. Een van de uitzonderingen waarop dat wél mag, is als een land gelijkwaardige privacybescherming heeft als landen in de Europese Unie zelf. De Europese Commissie geeft dan een adequacy decision af. Daardoor mogen bedrijven makkelijker gegevens naar dat land brengen.
Als je een uurtje online bent, zijn waarschijnlijk al een hoop van jouw gegevens naar andere landen gegaan en daar opgeslagen. Bedenk maar eens hoeveel buitenlandse diensten je zoal gebruikt.
Het is dan ook een economisch voordeel voor de bedrijven: minder regels naleven is eenvoudiger en kost minder geld. De bekendste adequacy finding was het Safe Harborbesluit. Dat was de verklaring waarmee de Europese Commissie zei: de gegevens van Europese burgers zijn in de Verenigde Staten net zo goed beschermd als in de Europese Unie.
Safe Harbor vernietigd
Maar toen kwamen Edward Snowden en Max Schrems om de hoek kijken. Snowden onthulde dat de Verenigde Staten helemaal niet zo keurig waren met het beschermen van de gegevens van Europeanen en Schrems vocht vervolgens Safe Harbor aan voor de rechter. Het Europese Hof oordeelde er uiteindelijk over en zei: Nee, de regering van de Verenigde Staten maken zich schuldig aan massasurveillance en het feit dat de geheime diensten in principe toegang hebben tot álle gegevens die in de Verenigde Staten werden opgeslagen of door de Atlantische kabels liepen, is een zéér ernstige schending van de privacy van de Europese burger. En dus werd Safe Harbor vernietigd door de rechter.
EU US Privacy Shield
Daar waren de Amerikanen én de Europese Commissie niet zo blij mee. Dus die hebben sindsdien onderhandeld om duidelijk te maken dat de Verenigde Staten intussen wél de rechten van Europese burgers beter beschermd. Vandaag heeft de Europese Commissie een concept van de nieuwe adequacy decision gepubliceerd, die EU US Privacy Shield gaat heten.
Die beslissing moet dus duidelijk moeten maken dat de gegevens van de Europese burger daadwerkelijk beter beschermd worden. Ook moet de beslissing op één lijn zitten met de uitspraak van het Europese Hof. Maar dat kan dus alleen als die enorme inbreuk op de privacy van Europese burgers wordt voorkomen. En is dat zo? Spoiler: nee. Er zijn talloze rafelrandjes, maar dit is de kern:
Het Shield is rot
Daar waar de Verenigde Staten duidelijk aangeeft dat de geheime diensten in principe nog steeds toegang kunnen hebben tot álle gegevens van Europeanen die in de Verenigde Staten worden opgeslagen, zegt de Europese Commissie: Nou ja, vooruit dan maar. Sterker nog: De Europese Commissie stelt dat er géén bulkcollectie meer is (o.a. in de vijfde alinea in het persbericht), omdat er voorwaarden zijn waarop gegevens gefilterd mogen worden en omdat er minder filters geplaatst mogen worden. En dat terwijl de Europese Commissie zelf nog constateert dat gegevens wel degelijk in bulk verzameld zullen worden (bovenaan pagina 4 van de zesde bijlage).
Het ging de Europese rechter juist om de onbeperkte toegang tot bulkdata. En die is niet ingeperkt. Dat betekent dat de kritiek van het Europese Hof nog steeds staat. Dat betekent óók dat het kern van het probleem niet is opgelost en dat de hele beslissing van de Europese Commissie op los zand staat.
Zeg maar dag tegen het Shield
De vraag is dan ook niet of, maar hoe snel deze beschikking van tafel gaat. Nu zullen eerst de (nationale) toezichthouders een advies geven of het EU US Privacy Shield wat hen betreft door de beugel kan. Mocht de Europese Commissie daarna op onverklaarbare wijze besluiten dat het Shield wél in de haak is, dan hebben wij en onze digitale burgerrechtenorganisaties-collega´s de messen alvast geslepen.