Schrappen Privacy Shield bemoeilijkt opslag in VS

ICTRecht Privacy ziet geen snelle oplossing voor geschrapte overeenkomst tussen EU en VS

Dit artikel delen:
Cloudopslag

Strikt juridisch genomen bevinden bedrijven die gebruikersdata in de Verenigde Staten laten opslaan, zich in een lastig parket. Maar een snelle oplossing ontbreekt. Er ontstaat een buitengewoon moeilijke situatie, nu het Europese Hof van Justitie een streep door de Privacy Shield-overeenkomst haalt, zegt directeur Peter Kager van ICTRecht Privacy. Directe consequentie is dat de opslag van privacygevoelige gegevens in Amerika stukken moeilijker is geworden. 'Er zijn nog wel mogelijkheden, maar het is buitengewoon lastig geworden.'

Ook de modelcontracten die de Europese Commissie heeft opgesteld voor de doorgifte van persoonsgegevens, bieden in principe weinig bescherming tegen de bevoegdheden van Amerikaanse inlichtingendiensten. Kager reageert ontkennend op de vraag of je op basis van die standaardbepalingen zaken kan blijven doen. ‘Eigenlijk niet’, reageert hij.

De directeur van ICTRecht Privacy verschilt daarin van opvatting met onder meer Microsoft. Kager: 'Komen data buiten de EU terecht, dan is dat alleen toegestaan wanneer men zich daar houdt aan de AVG. Als die verordening voor gegevensbescherming niet wordt nageleefd, moet de datatransfer stoppen.' Kager zet bijvoorbeeld vraagtekens achter het gebruik van Google Analytics. Formeel gezien zouden bedrijven daarmee moeten stoppen als ze de verwerking baseren op het Privacy Shield of een modelcontract.

Maar Kager verwacht dat de soep vooralsnog niet zo heet wordt gegeten. Hij ziet dan ook geen reden tot paniek. Klanten van hyperscalers als Microsoft, Google en AWS kunnen momenteel weinig anders doen dan maatregelen van de Europese privacywaakhonden afwachten. De vraag is of en wanneer deze instanties overgaan tot handhaving.

Nieuwe onderhandelingen

De ruling van het Europese Hof van Justitie maakt nieuwe onderhandelingen tussen Amerika en de EU nodig. De Europese Commissie moet opnieuw met de regering in Washington aan tafel. Vijf jaar geleden lukte dat toen Safe Harbour als voorganger van het Privacy Shield ongeldig werd verklaard. 

Een snelle toenadering zit er ditmaal niet, vreest Kager. De Verenigde Staten hebben er voor gekozen hun inlichtingendiensten vergaande bevoegdheden te geven. Die kunnen veel gemakkelijker dan in Europa grote hoeveelheden data doorploegen. In de Amerikaanse manier van denken wordt de nationale veiligheid boven de privacy gesteld. Dit heeft geleid tot uitgebreide surveillanceprogramma’s.

Cloud providers

"Het zeer de vraag of de VS bereid zijn hun wetgeving aan te passen"

Kager ziet een Amerikaanse GDPR niet zo snel tot stand komen. Volgens hem is het zeer de vraag of de VS bereid zijn hun wetgeving aan te passen. ‘Ik denk het eerlijk gezegd niet’, stelt hij. Kager verwacht niet dat als Trump niet wordt herkozen een andere situatie ontstaat. Sinds 9/11 hebben de Amerikanen deze lijn gevolgd. Het maakte daarbij niet uit of Bush, Obama of Trump president was. 

De grote cloud providers AWS, Microsoft en Google hebben om dit probleem op te lossen al gigantische datacenters in Europa neergezet. Maar dat neemt niet weg dat deze ondernemingen nog altijd onder de Amerikaanse wetgeving vallen. Ze kunnen door Washington worden gedwongen om data af te staan. De datacenters die op Europees grondgebied staan, vallen onder de AVG. Er zijn omstandigheden denkbaar dat deze hyperscalers in een spagaat komen te staan, waarbij ze moeten kiezen tussen het voldoen aan de Europese of Amerikaanse wetgeving. Als een keuze tot hoge boetes leidt, ontstaat een zeer moeilijk spanningsveld. In theorie is het probleem opgelost wanneer ze hun hoofdkwartier naar de EU verplaatsen. Maar dat zal niet snel gebeuren.

Proportionaliteit

Amerikaanse inlichtingendiensten kunnen niet zomaar bij data die in Europa zijn opgeslagen. Wel zijn, op basis van verdragen, inlichtingen op te vragen. Meer dan in de VS, wordt in Europa gekeken naar proportionaliteit. Simpel gezegd, mogen inlichtingendiensten niet bij vage verdenkingen hele databanken leeg schrapen. Maar bij verdenkingen van terroristische acties zal er weinig verschil zijn.

De Autoriteit Persoonsgegevens (AP) stelt dat, na deze uitspraak van het Hof, nu de Europese Commissie aan zet is om een nieuwe regeling op te zetten voor de doorgifte van gegevens van de EU naar de VS.  De AP bekijkt ondertussen binnen de European Data Protection Board (EDPB) wat de praktische gevolgen zijn van de uitspraak. En wat eventuele vervolgstappen kunnen zijn.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2020-07-21T10:23:00.000Z Alfred Monterie
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.