Het Europees Hof heeft afgelopen Dinsdag een streep gezet door het zogenoemde ‘Safe Harbour’-verdrag, dat de opslag van Europese persoonsgegevens in de Verenigde Staten toestond.

Maar wat is die Safe Harbour eigenlijk?

Om de ongeldigverklaring van de Safe Harbour-beschikking te begrijpen dient in eerste instantie de inhoud van de overeenkomst verder worden toegelicht. De Europese Unie, mede onder impuls van verschillende werkgroepen zoals de ‘Article 29 Working Party’, streeft al enkele jaren naar een strengere en meer uitgebreide privacy wetgeving en -reglementering. De nieuwe wetgevende stappen die de EU neemt ten opzichte van organisaties, zowel commercieel als overheid, zijn niet mals. ‘The right to be forgotten‘, waarbij de burger steeds de mogelijkheid heeft om aan een organisatie of bedrijf te vragen al zijn gegevens te wissen, is zo’n voorbeeld waar de EU erg ver wil gaan in de bescherming van de privacy.*

‘Safe Harbour’ zag het levenslicht in 2000. Het moest een compromis worden tussen het overbezorgde EU en de V.S. die heel wat tegengestelde belangen over privacy had. De Europese Commissie kwam daarom met de Verenigde Staten overeen dat gegevensverkeer tussen bedrijven in de EU, en bedrijven in de V.S., flexibel kon worden geregeld, zij nog steeds aan bepaalde principes en veiligheidsmaatregelen (de Safe Harbour Principles).

No Data outside the EU

Onder het verdrag konden internet bedrijven zoals Facebook toestemming krijgen om de gegevens van Europeanen in de VS op te slaan. Het Hof vindt nu echter dat deze gegevens in dat land onvoldoende worden beschermd, en dat het verdrag daarom ongeldig is.

In de uitspraak (pdf) wordt ook duidelijk gemaakt dat het ongeacht het Europese verdrag al mogelijk had moeten zijn voor nationale toezichthouders in Nederland of België om te voorkomen dat gegevens naar servers in de VS worden gestuurd. Door de conclusie van het Hof ontstaat onzekerheid over de legaliteit van data-opslag door Public Cloud providers zoals bijvoorbeeld Amazon en Google in de VS. In de uitspraak wijst het Hof op een bericht van de Europese Commissie aan het Europees Parlement, waarin het op grote schaal verzamelen van privé data door de VS “onaanvaardbaar” wordt genoemd. Met het oog op deze mededeling had de Commissie het verdrag direct moeten opschorten.

Duidelijke data grenzen

Het is voor het eerst dat het Europese Hof een zaak behandelt waar de onthullingen van Snowden een direct gevolg op hebben gehad en dat de rechtbank hierdoor een grote beleidswijziging afdwingt.
Het arrest trekt een duidelijke grens. Het verduidelijkt dat massasurveillance onze fundamentele privacy rechten als burger schendt. Men verwacht dat het arrest in de toekomst kan worden gebruikt in rechtszaken tegen de praktijken van de eigen diverse inlichtingendiensten binnen Europa en ver daarbuiten.

Gevolgen

De exacte gevolgen van de uitspraak voor de Public Cloud service providers zijn nog onduidelijk. Als zij gegevens in de VS willen blijven opslaan, zal daar een andere juridische basis voor moeten worden gevonden. Het Hof stelt dan ook voor dat de privacybeschermingen van de VS moeten worden onderzocht, om te bepalen of deze voldoende zijn voor de opslag van Europese gegevens.
Momenteel zijn deze bedrijven in het bezit van een certificaat waarmee ze gebruik mogen maken van het Safe Harbour-verdrag. Hiervoor moesten zij voldoen aan verschillende voorwaarden, waaronder de invoering van een geldig privacy beleid. Er was echter geen externe toezichthouder die in de gaten hield of die bedrijven zich wel aan de voorwaarden hielden.
Volgens een woordvoerder van Facebook ”Is het is essentieel dat de Europese en Amerikaanse overheden blijven zorgen voor betrouwbare methodes om wettelijk data over te dragen en de kwesties rondom de nationale veiligheid op te lossen”. En nog een reactie komt van Microsoft via Brad Smith als president and chief legal officer “People won’t use technology they don’t trust. We need to work together to build that trust.”

Doordat Europa zelf continu bezig is met zijn bestaansrecht te bewijzen, en dat het noch een politieke noch een economische eenheid vormt, en zelfs haar eenheidsmunt dreigt te verliezen maakt het dan ook nóg onduidelijker aan welke kant we staan als EU burger. Moeten wij het comfortabel gevoel van veiligheid op het Internet nu ondergeschikt maken aan onze privacy? Sowieso zijn de meeste burgers geen voorstander om geregulariseerd te worden door de overheid in ons doen en laten, en we weten toch allang met zijn allen dat “big brother is watching us”?
Moeten wij nu als leverancier van Cloud diensten de consument gaan beschermen die continue zelf bezig is met sociaal exhibitionisme en daardoor zijn privacy en meest persoonlijke gevoelens en beelden te grabbel gooit op Facebook of Instagram. Tja, de aantrekkingskracht is dan ook groot van al deze Public cloud diensten, mede versterkt doordat de meeste zelfs volledig gratis worden aangeboden.

Maar als de dienst gratis is dan bent u zelf het product en zou u moeten weten wat daar de gevolgen van kunnen zijn, niet?

Voor de zakelijke gebruiker ligt het iets anders, daar zou men eerst moeten kijken welke informatie men wil delen en of deze al dan niet gevoelig is voor buitenstaanders. en ook hier speelt de wetgeving per land binnen de Europese unie een rol van betekenis. Immers er bestaat een soort van bewaarplicht van gegevens van uw klanten en ook boekhoudkundig gezien moet u tenminste vijf jaar terug in de tijd kunnen om de gegevens beschikbaar te maken tijdens een belastingcontrole. Net om deze en andere zekerheden te vrijwaren is de keuze voor een eigen dataopslag of bij een lokale Cloud provider voor de hand liggend, ondanks misschien wel het verschil in het prijskaartje. En naar alle waarschijnlijkheid zullen diezelfde Private Cloud providers u als zaakvoerder nóg meer gaan overtuigen om met hen in zee te gaan. Kortom de strijd om de felbegeerde klant in de Cloud is nog maar net begonnen, maar de Amerikanen hebben inmiddels een ruime voorsprong weten uit te bouwen.

Om in voetbal termen af te sluiten: “EU-VS 1:1” met 95% balbezit voor de Amerikanen.

* Met dank aan Matthias Dobbelaere-Welvaert voor zijn juridische bijdrage.