EU-hof: persoonsgegevens EU-burgers onvoldoende beschermd in VS

Privacy Het Privacy Shield uit 2016, dat de bescherming van persoonsgegevens van EU-burgers regelt die in de VS worden verwerkt, is nietig verklaard door het Europees Hof van Justitie.
Toenmalig Amerikaans minister Penny Pritzker (l) en Eurocommissaris Vera Jourova in 2016 na het bereiken van een akkoord over de Privacy Shield.
Toenmalig Amerikaans minister Penny Pritzker (l) en Eurocommissaris Vera Jourova in 2016 na het bereiken van een akkoord over de Privacy Shield. Foto Olivier Hoslet / EPA

Persoonsgegevens die door bedrijven vanuit Europa naar de Verenigde Staten worden gestuurd, zijn onvoldoende beschermd. Dat heeft het Europees Hof van Justitie donderdag bepaald (pdf). Het Hof verklaarde het zogeheten Privacy Shield nietig. Deze overeenkomst, die in 2016 werd goedgekeurd door de Europese Commissie, regelt de bescherming van persoonsgegevens van EU-burgers die in de VS worden verwerkt. Daarin lijkt de overeenkomst tekort te schieten.

Bij het verwerken van persoonsgegevens buiten de EU moet „in grote lijnen” worden voldaan aan Europese regelgeving, aldus het Hof, en dat is niet het geval bij het Privacy Shield. De toegang tot de data die de Amerikaanse overheidsinstanties hebben is namelijk niet „tot het strikt noodzakelijke” beperkt, terwijl Europese regelgeving dat wel vereist. Daardoor komen grondrechten van EU-burgers wier gegevens worden overgedragen in het geding. De Europese Commissie moet nu bepalen of met de Verenigde Staten wordt onderhandeld over nieuwe afspraken.

Duizenden bedrijven verstuurden op basis van het Privacy Shield persoonsgegevens naar de VS. De uitspraak heeft niet tot gevolg dat ze nu geen data meer kunnen doorsturen. Bedrijven kunnen terugvallen op een alternatief mechanisme dat het Hof wel in stand heeft gelaten. Daarvoor moeten ze wel een aantal handelingen verrichten om voldoende privacybescherming te realiseren, terwijl dit met het Privacy Shield automatisch gebeurde. Dit maakt de verwerking in de VS „wat moeilijker” omdat het „meer rompslomp en eventuele kosten” met zich meebrengt, aldus een woordvoerder van het Europees Hof.

Safe Harbor-verdrag

Bij de aankondiging van het Privacy Shield waren Europese privacyorganisaties al kritisch over de afspraken. De nieuwe overeenkomst was nodig omdat een ander verdrag dat privacy moest waarborgen, het Safe Harbor-verdrag, in 2015 eveneens nietig werd verklaard omdat het te weinig bescherming bood tegen massasurveillance door Amerikaanse geheime diensten.

De zaak was aangespannen door de Oostenrijkse privacyactivist Maximilian Schrems, wiens eerdere klacht leidde tot de nietigverklaring van het Safe Harbor-verdrag. Hij diende bij de Ierse autoriteit voor privacybescherming een klacht in over de verwerking van persoonsgegevens door Facebook in de VS. Die instelling vroeg vervolgens de Ierse rechtbank om raad, die daarop weer het Europees Hof voor Justitie inschakelde.