Grote vragen na Facebook-uitspraak

het oordeel van het Europees Hof

Bedrijven mogen klantgegevens niet meer zomaar in Amerika stallen. Dat heeft voorlopig vooral juridische gevolgen, lijkt het.

illustratie stella smienk

Een tegenslag voor bedrijven zoals Facebook. Het Europees Hof oordeelde gisteren dat een belangrijk verdrag tussen de EU en de Verenigde Staten over dataopslag door internetbedrijven de prullenbak in kan. Het gaat om het zogeheten Safe Harbor-verdrag, dat de beveiliging van digitale persoonsgegevens regelt.

Data mogen niet zomaar worden opgeslagen in een land buiten de EU zonder passende bescherming. Safe Harbor was ervoor bedoeld om die te bieden. Maar het Hof oordeelde dat het verdrag de privacy van gegevens juridisch onvoldoende waarborgt. Bedrijven zoals Facebook beriepen zich op het verdrag om gegevens in Amerika op te slaan. De uitspraak lijkt te betekenen dat zij dat niet meer zomaar mogen doen. Dat roept veel vragen op.

1 Welke bedrijven gaan gevolgen ondervinden van de uitspraak?

Welke bedrijven níét, is een betere vraag. Volgens advocaat Menno Weij van het in internetrecht gespecialiseerde SOLV heeft de uitspraak gevolgen voor elk bedrijf waarvan gegevens in de VS zijn opgeslagen. „Dat zijn grote bedrijven, maar ook de bakker om de hoek.” Data-uitwisseling met de Verenigde Staten is voor allerlei bedrijven, overheidsorganisaties en onderwijsinstellingen dagelijkse kost: dat gebeurt niet alleen via sociale media als Facebook, maar ook via clouddiensten van Amazon, of klantenservicediensten van Salesforce.

Safe Harbor is niet het enige juridische kader waarmee bedrijven dat kunnen doen, maar wel een van de belangrijkste. Nu moeten alle bedrijven die data buiten de EU opslaan kijken of dat nog wel mag. „Deze uitspraak heeft veel impact. De verantwoordelijkheid voor een goede databescherming ligt namelijk bij de bedrijven die de data verzamelen, ook als dat de bakker is.”

2 Is dit nou gunstig voor onze privacy?

„Het is een mooie dag voor privacy!” juichte privacyclub Bits of Freedom meteen. Klokkenluider Edward Snowden (die van de Amerikaanse geheime dienst NSA) feliciteerde de Oostenrijker Max Schrems. Hij had de zaak tegen Facebook aangespannen en gewonnen. Snowden twitterde: „Je hebt de wereld ten goede veranderd.” Vicevoorzitter Wilbert Tomesen van het College Bescherming Persoonsgegevens (CBP) is ook optimistisch over de gevolgen voor privacybescherming, maar voorzichtiger met harde conclusies. „Wat dit concreet voor gevolgen heeft, is zeker nog niet helemaal duidelijk. Daar gaan we ons de komende weken, maanden over buigen.” De vlag kan dus nog niet definitief uit, maar het kan bijna niet anders dan dat dit een politieke discussie oplevert over hoe klantendata in de VS beter beschermd moeten worden.

3 Moet Facebook stoppen met data opslaan op Amerikaanse servers?

Facebook zelf vindt van niet. Het bedrijf benadrukt dat het Safe Harbor-verdrag niet de enige constructie is waarmee je als bedrijf legaal data kunt opslaan in de VS. De uitspraak gaat volgens Facebook alleen over de Safe Harbor-constructie, en niet over die andere juridische routes. Facebook gaat er vooralsnog van uit dat het gewoon data van Europese gebruikers in Amerika kan opslaan.

Als bedrijven gemakkelijk via andere juridische routes gegevens in de VS kunnen opslaan, zullen gebruikers ook niet veel van de uitspraak merken. Ook de vicevoorzitter van de Europese Commissie, Frans Timmermans, zei gisteren in een persconferentie dat datastromen tussen de EU en Amerika niet direct hoeven te worden gestopt of aangepast, en dat dat maar goed is ook: dat zou grote gevolgen hebben voor de economie.

Maar niet iedereen is het helemaal met die lezing eens. Volgens Tomesen van het CBP benadrukt het Hof met de uitspraak de rol van privacytoezichthouders zoals het CBP. Zij kunnen datastromen die eerder onder Safe Harbor vielen nu wel degelijk stoppen en onderzoeken. Dat zou betekenen dat vanaf nu alle individuele nationale privacytoezichthouders kunnen bepalen dat bedrijven als Facebook moeten ophouden met dataopslag in Amerika. Alle 28 lidstaten van de Europese Unie hebben een eigen privacytoezichthouder.

4 Wat gaat er nu gebeuren?

„Het is onwenselijk dat 28 verschillende colleges straks 28 verschillende oordelen vellen”, zegt Tomesen van het CBP. „Er komt in elk geval geen hek om Nederland te staan dat datastromen blokkeert.” Morgen komen alle CBP’s samen om te bespreken wat ze doen met de uitspraak. „Er ligt vooral een politieke vraag voor de Europese Commissie”, zegt Tomesen. Een belangrijke vraag is bijvoorbeeld of gegevens voortaan binnen Europa moeten blijven, en hoe dat technisch dan geregeld moet worden.