Je online gegevens zijn niet veilig in de VS. Hoe nu verder?

Foto AFP

Al je likes. Je tweets. Je zoekopdrachten bij Google. Maar ook je voorkeur voor een vegetarische maaltijd op een vlucht naar New York. Al die digitale gegevens vinden hun weg van pc’s in Europa naar servers in de VS. En daar zijn ze overgeleverd aan de goden. Want persoonsgegevens zijn niet goed beschermd in de VS, vindt advocaat-generaal Yves Bot, de belangrijkste adviseur van het Hof van Justitie van de EU. Woensdag kwam hij met zijn advies in de zaak van een Oostenrijker tegen Facebook. Vier vragen:

1. Wat is het advies van Bot?

Het besluit van de Europese Commissie, in 2000, dat persoonlijke informatie mag worden doorgestuurd aan de VS omdat het land genoeg waarborgen biedt voor databescherming, is ongeldig. Nationale autoriteiten, zoals het College Bescherming Persoonsgegevens, mogen doorsluizen voorkomen, stelt Bot. Nu kunnen Amerikaanse bedrijven nog vrijelijk beschikken over die data omdat de VS door de Commissie worden beschouwd als ‘safe harbor’, een veilige haven voor data.

2. Een ‘veilige haven’?

De EU wil haar inwoners garanderen dat persoonsgegevens veilig zijn bij bedrijven. Als inwoner heb je onder meer het recht te weten welke gegevens over je worden opgeslagen. Je mag die gegevens terugtrekken, als je wilt. En ze mogen niet zonder je toestemming worden doorverkocht aan anderen.

Die mate van privacybescherming, vindt de EU, moet ook in stand blijven als gegevens worden uitgewisseld met landen buiten de EU. In 2000 werd na lang onderhandelen met de VS afgesproken dat Amerikaanse bedrijven gegevens van EU-burgers mogen krijgen als ze voldoen aan ‘veilige haven-beginselen’. Amerikaanse bedrijven moeten beloven dat ze net zo omspringen met de data als een bedrijf binnen de EU verplicht is te doen.

3. Waarom is het oordeel nu dat het verdrag ongeldig is?

Het korte antwoord: Edward Snowden. De Amerikaanse klokkenluider onthulde in 2013 dat inlichtingendienst NSA op grote schaal persoonsgegevens onderschept, ook van Europeanen. De Oostenrijkse rechtenstudent en activist Max Schrems (27) diende in 2014 een klacht in bij de Ierse autoriteit voor gegevensbescherming: zijn data zouden bij Facebook niet veilig zijn (Facebooks Europese hoofdkantoor is in Ierland). De klacht werd afgewezen: ze zijn wél veilig, zei de Ierse privacyautoriteit, we hebben immers dat verdrag. Woensdag kwam daar dus een flinke omslag in. Bot stelde dat Europese burgers helemaal geen “effectieve rechterlijke bescherming” krijgen in de VS. Het veilige haven-verdrag, zegt hij, is daarom ongeldig.

4. Voor wie heeft dat mogelijk gevolgen?

Als het Hof de advocaat-generaal volgt dan kan dat verstrekkende gevolgen hebben voor consumenten en bedrijven. Aan de ene kant zouden Europese burgers beter beschermd moeten zijn tegen massasurveillance of ongewenst (commercieel) gebruik van hun gegevens. Aan de andere kant gaat de kwaliteit van (Amerikaanse) onlinediensten er mogelijk op achteruit, omdat betrokken bedrijven straks met elk land afzonderlijk dreigen te moeten onderhandelen over datastromen. De kans bestaat dat zij nu extra datacentra gaan openen in Europa. Dan worden jouw likes en tweets niet meer opgeslagen in de VS, maar (veiliger) om de hoek.

5. Hoe nu verder?

Zal de privacy van Europese burgers nu beter beschermd zijn? Misschien. De conclusie van de advocaat-generaal is niet bindend, maar de rechters van het Hof luisteren er wel vaak naar. Dat beslist later dit jaar.

In Brussel wordt ook onderhandeld over een nieuwe privacyrichtlijn. Daarin zou onder meer moeten komen dat data alleen voor een vooraf bepaald doel mag worden verzameld. Eind dit jaar moet er een tekst liggen.