Vandaag heeft de Europese Commissie het concept EU US Privacy Shield gepubliceerd. Dit moet het Safe Harborbesluit vervangen, waar eerder een dikke streep door werd gezet. Maar het Shield is net zo lek als het Safe Harborbesluit. Klinkt dit allemaal als mumbo jumbo? We leggen het je in een paar stappen uit, want uiteindelijk gaat dit allemaal over jouw dagelijks internetgebruik.
Hoe zit het?
Op basis van de Europese privacyregels mogen persoonlijke gegevens niet zomaar naar landen buiten de Europa. Een van de uitzonderingen waarop dat wél mag, is als een land gelijkwaardige privacybescherming heeft als landen in de Europese Unie zelf. De Europese Commissie geeft dan een adequacy decision af. Daardoor mogen bedrijven makkelijker gegevens naar dat land brengen.
Als je een uurtje online bent, zijn waarschijnlijk al een hoop van jouw gegevens naar andere landen gegaan en daar opgeslagen. Bedenk maar eens hoeveel buitenlandse diensten je zoal gebruikt.
Het is dan ook een economisch voordeel voor de bedrijven: minder regels naleven is eenvoudiger en kost minder geld. De bekendste adequacy finding was het Safe Harborbesluit. Dat was de verklaring waarmee de Europese Commissie zei: de gegevens van Europese burgers zijn in de Verenigde Staten net zo goed beschermd als in de Europese Unie.
Safe Harbor vernietigd
Maar toen kwamen Edward Snowden en Max Schrems om de hoek kijken. Snowden onthulde dat de Verenigde Staten helemaal niet zo keurig waren met het beschermen van de gegevens van Europeanen en Schrems vocht vervolgens Safe Harbor aan voor de rechter. Het Europese Hof oordeelde er uiteindelijk over en zei: Nee, de regering van de Verenigde Staten maken zich schuldig aan massasurveillance en het feit dat de geheime diensten in principe toegang hebben tot álle gegevens die in de Verenigde Staten werden opgeslagen of door de Atlantische kabels liepen, is een zéér ernstige schending van de privacy van de Europese burger. En dus werd Safe Harbor vernietigd door de rechter.
EU US Privacy Shield
Daar waren de Amerikanen én de Europese Commissie niet zo blij mee. Dus die hebben sindsdien onderhandeld om duidelijk te maken dat de Verenigde Staten intussen wél de rechten van Europese burgers beter beschermd. Vandaag heeft de Europese Commissie een concept van de nieuwe adequacy decision gepubliceerd, die EU US Privacy Shield gaat heten.
Die beslissing moet dus duidelijk moeten maken dat de gegevens van de Europese burger daadwerkelijk beter beschermd worden. Ook moet de beslissing op één lijn zitten met de uitspraak van het Europese Hof. Maar dat kan dus alleen als die enorme inbreuk op de privacy van Europese burgers wordt voorkomen. En is dat zo? Spoiler: nee. Er zijn talloze rafelrandjes, maar dit is de kern:
Het Shield is rot
Daar waar de Verenigde Staten duidelijk aangeeft dat de geheime diensten in principe nog steeds toegang kunnen hebben tot álle gegevens van Europeanen die in de Verenigde Staten worden opgeslagen, zegt de Europese Commissie: Nou ja, vooruit dan maar. Sterker nog: De Europese Commissie stelt dat er géén bulkcollectie meer is (o.a. in de vijfde alinea in het persbericht), omdat er voorwaarden zijn waarop gegevens gefilterd mogen worden en omdat er minder filters geplaatst mogen worden. En dat terwijl de Europese Commissie zelf nog constateert dat gegevens wel degelijk in bulk verzameld zullen worden (bovenaan pagina 4 van de zesde bijlage).
Het ging de Europese rechter juist om de onbeperkte toegang tot bulkdata. En die is niet ingeperkt. Dat betekent dat de kritiek van het Europese Hof nog steeds staat. Dat betekent óók dat het kern van het probleem niet is opgelost en dat de hele beslissing van de Europese Commissie op los zand staat.
Zeg maar dag tegen het Shield
De vraag is dan ook niet of, maar hoe snel deze beschikking van tafel gaat. Nu zullen eerst de (nationale) toezichthouders een advies geven of het EU US Privacy Shield wat hen betreft door de beugel kan. Mocht de Europese Commissie daarna op onverklaarbare wijze besluiten dat het Shield wél in de haak is, dan hebben wij en onze digitale burgerrechtenorganisaties-collega´s de messen alvast geslepen.
Watloper
Tja,..
Wat is dan het concrete advies aan de gebruiker in de tussentijd?
Aan welke diensten moeten wij als gebruiker dan denken en welke concrete keuze hebben we dan eigenlijk?
van Eerden
Misschien een simpele vraag, maar waarom wordt niet gewoon de wet gehandhaafd? Dus geen data meer naar Amerika! Dan maar even geen Google, Gmail, Facebook en alle andere Prism bedrijven gebruiken. Wordt de wereld ook niet echt slechter van.
Dat gaat ze veel geld kosten en dat is de enige taal die ze echt snappen. Alle andere maatregelen maken geen indruk op ze of ze hebben er gewoon lak aan.
Mocht dat iets te radicaal zijn, dan kunnen er altijd nog sancties en dwangsommen ingesteld worden. Ik dacht zelf aan 1 miljard per dag dat de overtreding voortduurt. Daar zullen ze ook wel gevoelig voor zijn 😉
van Eerden
Volgens mij is er voldoende keus:
https://prism-break.org/en/
Niet Van Eerdern
Verbeter de wereld, begin bij jezelf. Laat mij lekker zelf weten of ik Google, Gmail, Facebook of welk ander “PRISM bedrijf” (bestaan die?) gebruik. Als ik mijn data aan een Amerikaans bedrijf wil geven, bepaal ik dat lekker zelf, daar heb ik geen EU voor nodig.
Ik kies er zelf voor om die diensten te gebruiken. Ik kies er zelf voor om cookies aan te zetten in mijn browser (hint: zet je cookies uit en 90% van alle tracking werkt niet meer, net zoals de bijbehorende diensten).
En ik ben benieuwd hoe jij een Nederlandse dwangsom van 1 miljard per dag komt komen innen in de VS. Tijd voor een “Invade Washington” act?
Stop met die radicale onzin van je.
Van Eerden
Deze bedrijven hebben bijna een monopolie positie, dus van een echt vrije keuze om wel of geen Google / Facebook te gebruiken is voor veel mensen allang geen sprake meer. Doordat jij een ‘vrije’ keuze maakt om te kiezen voor deze bedrijven, maak je deze keuze ook tegelijkertijd voor anderen. Iedereen die jou bijvoorbeeld mailt op je Gmail adres valt onder de algemene voorwaarden van Google, ondanks dat ze daar nooit akkoord voor hebben gegeven. Dus bedankt voor jouw keuze, not!
Ondanks dat ik grote voorstander ben van keuzevrijheid, is de kern dat dit groter is dan de individuele keuzevrijheid. Het is een ecologische probleem! Deze Prism bedrijven ‘zuigen’ iedereen mee, alleen als je als kluizenaar wilt leven ontkom je nog aan deze bedrijven. Dat noem ik geen eigen keuzevrijheid meer!
En over die boete: volgens mij heeft ook ooit Microsoft een boete betaald van honderden miljoenen aan de EU, dus het is zeker mogelijk 😉
Van Eerden
En verder in aanvulling op bovenstaande: is het zo gek om te vragen dat ook deze bedrijven gewoon de wet naleven? Moet ik toch ook? Volgens mij is de uitspraak van het Europees Hof heel duidelijk. Gewoon handhaven dus! Don’t shoot the messenger!
Vraagje
Weten we eigenlijk wat Rusland in bulk over ons bijhoudt?
Of wat de Chinezen inmiddels als snuffel hardware in hun geëxporteerde netwerkapparatuur hebben ingebouwd (zoals de Australiërs moesten ontdekken).
Denk je nu echt dat die landen op hun handen zitten? En niet allang bij KPN binnen zijn.
Groei op.