Het verhaal van Maximilian v Goliath – Part 1: the (un-) Safe Harbor

Het is opnieuw een roerig jaar voor onze privacybescherming. Net als de vorige opschudding door de onthullingen van Edward Snowden, is ook de huidige oproer gestart na het dappere werk van één persoon. De nobele man in dit geval is de Oostenrijkse rechtenstudent Maximilian Schrems. Schrems heeft namelijk twee grote rechtszaken lopen tegen Facebook omdat hij (terecht) meent dat Facebook Europese privacywetgeving schendt. De eerste zaak loopt bij het Europese Hof – hetzelfde Hof dat vorig jaar de bewaarplicht Richtlijn ongeldig verklaarde – en gaat over de rechtmatigheid van het verwerken van persoonsgegevens door social media gigant Facebook.

Mogen Amerikaanse bedrijven (zoals Facebook) persoonlijke data van Europese gebruikers verwerken nu duidelijk is geworden dat Amerikaanse veiligheidsdiensten deze gegevens zonder enig toezicht onderscheppen?

Het verhaal van Maximilian

Het begon in de zomer van 2011, toen Schrems Facebook vroeg inzage te geven in de persoonsgegevens die het bedrijf over hem verzamelde. (Iedereen kan, bij welke instantie dan ook, een dergelijk inzage verzoek indienen: zie hier indien je benieuwd bent naar de gegevens die Facebook over jou heeft en hier voor een inzage verzoek bij elk ander bedrijf, zoals verzekeraars, banken, mobiele providers, vervoersmaatschappijen, etc). In reactie op zijn verzoek ontvangt Schrems in oktober 2011 een CD-rom met 1222 pagina’s persoonlijke data die terug gaat tot het moment dat hij voor het eerst Facebook gebruikte. Geschrokken van dit boekwerk aan persoonlijke informatie – ook alles wat hij dacht verwijderd te hebben was bewaard gebleven – besluit Schrems actie te ondernemen. Op 16 november 2012 dient hij zijn eerste aanklacht in bij de Ierse privacy toezichthouder en Facebook moet op het matje komen. De toezichthouder weigert echter te voldoen aan de eisen van Max, waarop hij naar de rechter stapt. Op 5 juni 2013 onthult Snowden het PRISM schandaal; de NSA onderschept systematisch e-mails, social media en telefoonverkeer. Op 18 juni verwijst de Ierse rechter de zaak door naar het Europese Hof.

The (un-) Safe Harbor

In de Europese Unie worden onze persoonsgegevens beschermd door de Richtlijn bescherming persoonsgegevens. Omdat deze Richtlijn ervoor heeft gezorgd dat elke Europese lidstaat een hoog beschermingsniveau biedt, mogen persoonsgegevens tussen Europese landen vrij worden uitgewisseld. Ook al verschillen de nationale wetten van land tot land, ze beschermen (in theorie) onze persoonsgegevens op een adequate manier.

Wanneer een bedrijf vanuit Europa persoonsgegevens wil verzenden naar een land buiten de EU mag dat alleen indien dit land ook een adequaat beschermingsniveau biedt. Voorbeelden van wetten waaraan een adequaat beschermingsniveau herkent kan worden, zijn regels die eisen dat bedrijven eerlijk en rechtmatig persoonsgegevens verwerken voor een duidelijk doel, alleen de gegevens verzamelen die ze echt nodig hebben en de data niet langer bewaren dan noodzakelijk is.
In dit kader heeft de EU een overeenkomst getekend met de Verenigde Staten: de EU-VS Safe Harbor. Hierin is afgesproken dat Amerikaanse bedrijven die zich volgens deze regeling certificeren, worden vermoed dezelfde adequate bescherming te garanderen als Europese lidstaten. Een soort keurmerk voor privacy respecterende bedrijven dus.

Dankzij Max Schrems ligt de Safe Harbor regeling onder vuur. Hij meent dat persoonlijke data van Europese burgers niet meer naar de VS verzonden mogen worden. Er zou geen adequate bescherming zijn – en volgens hem ook nooit geweest – nu bekend is geworden dat Amerikaanse bedrijven op grote schaal data van Europese burgers delen met de NSA en andere veiligheidsdiensten. Heeft deze Safe Harbor enige nut als een buitenlandse overheid alsnog onze gevoelige gegevens kan analyseren?

To be continued…

De Safe Harbor die veilige persoonsgegevensverwerking moet waarborgen, lijkt unsafe. Dat er iets gaat veranderen is duidelijk, maar hoe nog niet.
Schrems lijkt de steun te hebben van de Europese Commissie, die al heeft aangegeven dat ook zij meent dat de Safe Harbor op dit moment geen effectieve bescherming biedt. De advocaat-generaal doet 24 juni 2015 uitspraak in deze zaak en het Hof laat ons waarschijnlijk in oktober 2015 weten wat de status van de EU-VS Safe Harbor is.
Tot die tijd is het billenknijpen voor grote bedrijven als Google, Microsoft en Facebook. Zonder de Safe Harbor overeenkomst is er geen rechtsgrond om Europese persoonsgegevens te verwerken, terwijl dit mede aan de basis ligt van hun businessmodel. Zeker in het licht van de groeiende cloud computing markt – waarbij de locatie van data in feite overal ter wereld kan zijn – is de uitkomst van deze zaak spannend. Deze zaak laat maar weer eens zien waartoe één persoon in staat is.

 Alsof deze eerste zaak nog niet genoeg stof heeft doen opwaaien, heeft Maximilian een tweede zaak aangespannen tegen Facebook. Benieuwd naar dit tweede verhaal? Hou onze website in de gaten. Een klein tipje van de sluier: het gaat wederom over onze privacy.

Britt van Breda, mei 2015