Europees Hof: data Facebookers niet veilig in de VS

De VS zijn geen ‘veilige haven’ voor gegevens van burgers uit de EU. Overdracht van data is nu illegaal.

Persoonsgegevens van Europeanen zijn niet in goede handen in de VS. Het land is geen ‘veilige haven’ voor digitale informatie van Europese burgers. Bovendien is massasurveillance van inhoud in strijd met het grondrecht op privacy. Geheime diensten mogen niet onbeperkt toegang hebben tot persoonlijke data.

Dat heeft het Europees Hof van Justitie in Luxemburg vandaag bepaald. De uitspraak van de hoogste rechtbank in de Europese Unie betekent onder meer dat burgers bezwaar kunnen maken tegen het doorsturen van hun gegevens naar de VS, waar inlichtingendiensten er vrijelijk in kunnen grasduinen. Datastromen van Europa naar de VS zijn daarmee illegaal verklaard.

Het is een bijzonder verstrekkende uitspraak, zeggen privacyjuristen. Persoonsgegevens mogen niet worden doorgegeven naar een land buiten Europa zonder passend beschermingsniveau. Toezichthouders zoals het Nederlandse College Bescherming Persoonsgegevens, mogen die gegevensstromen nu onderzoeken en mogelijk stoppen.

Het is ook een stevig signaal naar de Europese Commissie dat zij de privacy van hun burgers goed moet beschermen. Het is het derde baanbrekende arrest van het Hof op rij, na vorig jaar het recht om ‘vergeten te worden’ (bij Google bijvoorbeeld) en de buitenwerkingstelling van de richtlijn die de bewaarplicht regelt van klantgegevens van telecomaanbieders voor politie en justitie.

De uitspraak wordt gezien als een klap voor Amerikaanse bedrijven als Facebook en Amazon. Als zij gegevens van hun klanten uitwisselen tussen Europese en Amerikaanse computers overtreden zij de wet. Een boete tot maximaal 10 procent van de omzet behoort vanaf januari tot de mogelijkheden. De bedrijven moeten nu andere manieren zoeken om gegevens uit te wisselen, met meer privacywaarborgen voor gebruikers.

Het Hof zet een streep door het zogenoemde ‘veilige haven’-verdrag tussen de EU en de VS uit 2000. De EU wil haar inwoners garanderen dat hun informatie veilig is bij bedrijven, ook als gegevens worden uitgewisseld met landen buiten de EU. Het Hof stelt dat de Europese Commissie bij het maken van afspraken hierover beter had moeten onderzoeken of de VS daadwerkelijk zorgvuldig omgaan met Europese persoonsgegevens.

Het Hof volgt de conclusie die advocaat-generaal Yves Bot, belangrijk adviseur van het Hof, anderhalve week geleden publiceerde.

De zaak werd aangespannen door de Oostenrijkse Facebook-gebruiker Max Schrems. Hij vroeg de Ierse privacytoezichthouder te beoordelen of Facebook al zijn gegevens mag opslaan op servers in de VS. Facebooks Europese hoofdkantoor zit in Ierland. De toezichthouder wees de klacht van Schrems af. Die stapte naar het Ierse Hooggerechtshof. Het Ierse Hof vroeg advies aan het Europees Hof in Luxemburg.

Het Hof stelt onder meer: „Een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie, moet worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven.” Dat oordeel maakt ook ongerichte massasurveillance in Nederland illegaal en bemoeilijkt mogelijk de plannen van minister Ronald Plasterk (Binnenlandse Zaken, PvdA) op dit gebied.