Averij `veilige haven' voor persoonsgegevens

Europa en de VS twisten over bescherming van de dagelijkse uitwisseling van persoonsgegevens. Een speciaal project, Safe Harbour, vertoont fouten.

Een ambitieus project om persoonsgegevens te beschermen die van Europa worden uitgevoerd naar de Verenigde Staten, vertoont serieuze gebreken. Dat blijkt uit een evaluatie door de Universiteit van Namen in opdracht van de Europese Commissie van het project dat bekend staat als `Safe Harbour'. Dit project heeft betrekking op de enorme hoeveelheid gegevens over individuele personen die dagelijks vanuit Europa wordt overgeseind naar de VS.

Veel Amerikaanse bedrijven met vestigingen in Europa houden centrale databases bij van hun personeelsleden ('human resource management')'en klanten ('customer relations management'). Het gaat om creditcardtransacties maar ook om consumentenklachten, om de uitgifte van personeelsobligaties of om bedrijfsongevallen.

Safe Harbour is een moeizaam onderhandeld compromis tussen de Europese Unie, die een algemeen geldende privacyrichtlijn heeft, en de Verenigde Staten die principieel tegen dergelijke algemene regels zijn en ze vooral zien als een oneigenlijke handelsbeperking. De EU eist bij export van persoonsgegevens naar andere landen dat die een ,,adequaat niveau van bescherming'' bieden. Daaraan kunnen de VS door de afwezigheid van een sluitende privacywetgeving per definitie niet voldoen. Ook in een ander opzicht bestaat er een fundamenteel verschil tussen de Amerikaanse en Europese benadering van privacy. De VS hechten aan het primaat van de vrije keuze van de consument, terwijl Europa het accent legt op bescherming van privacy als grondrecht – dus een overheidstaak.

De EU en de VS kregen het na de aanslagen van 11 september 2001 aan de stok over de Amerikaanse eis dat Europa de gegevens van luchtpassagiers meestuurt. De export van persoonsgegevens vanuit Europa die onder de richtlijn vallen omvat veel meer: van reclamebureau tot bank, van accountantsfirma tot telecombedrijf. Bij de nu onderzochte bedrijven en instellingen was de helft van de geëxporteerde gegevens van commerciële aard, een derde betrof personeelsleden, de rest onder meer gegevens over reizen en medische gegevens.

Het is praktisch ondenkbaar de intensieve transatlantische gegevensstromen te verbieden, al is dat eigenlijk de uiterste consequentie van de richtlijn. Aan de andere kant valt deze ook niet straffeloos te negeren. Er stond dus de nodige druk op de onderhandelingen. Safe Harbour leek het ei van Columbus: Amerikaanse bedrijven en instellingen die zaken doen met Europa zouden vrijwillig de hoofdlijnen van de Europese privacybescherming accepteren. Dit zouden zij bezegelen met een verklaring die wordt gedeponeerd bij de federale overheid.

Net zo moeizaam als de onderhandelingen was de start van Safe Harbour medio 2000. Ruim een jaar later hadden nog slechts 130 Amerikaanse organisaties zich gemeld. Thans wordt een aantal van zeshonderd genoemd, maar volgens de Europese Commissie is dit nog steeds minder dan verwacht. De `privacy policies' die de Amerikaanse ondernemingen aanmelden zijn vaak moeilijk te begrijpen en bieden ook onvoldoende inzicht in de precieze omvang van de gegevensverwerking. Veel bedrijven claimen deel te nemen aan privacyprogramma's van brancheorganisaties die deze naam niet waard zijn, aldus de onderzoekers van het Centrum voor informatica en recht van de Belgische universiteit.

Een belangrijk privacythema als de keuzevrijheid van de geregistreerde in verband met gegevensexport is vaak onduidelijk of ontbreekt zelfs geheel. Europa legt de nadruk op het beginsel van `opt-in' (instemming van de geregistreerde) terwijl de VS het houden bij `opt-out': de betrokkene moet zelf maar aangeven als hij het er niet mee eens is. De toegang van de geregistreerde tot zijn of haar gegevens is niet altijd voldoende helder geregeld. Er is een risico dat gegevens te makkelijk worden doorgegeven aan anderen.

Als gevolg van recente wijzigingen in de Amerikaanse wetgeving is het ook mogelijk dat gegevens over gezondheid en gegevens betreffende werknemers worden uitgezonderd van het arrangement, aldus het rapport. Dit bevat aanbevelingen om Safe Harbour te verbeteren. Maar het maakt duidelijk dat dit een hele toer zal zijn.

    • F. Kuitenbrouwer