Kunnen we de Amerikanen nog wel vertrouwen?

19-11-2015

Sinds anderhalve maand is het officieel illegaal om persoonlijke gegevens via internet naar de VS te sturen. Te onveilig, besloot het Europees Hof. Vanaf februari dreigen boetes voor iedereen die gebruik maakt van een Amerikaanse dienst. ‘Zelfs met nummerherkenning naar de VS bellen mag niet.’

Het is óók de schuld van het bedrijfsleven zelf dat het feitelijk illegaal is geworden om persoonsgegevens naar de VS te sturen via internet’, zegt Europarlementariër Sophie in ‘t Veld. Zij is de woordvoerster van de liberale ALDE-fractie in het Europees Parlement. ‘We weten al jaren dat Safe Harbor niet werkt. Bedrijven houden zich er niet aan en er wordt niet op toegezien door de Amerikaanse overheid. Ik kom al jaren bij het bedrijfsleven met de oproep: Help ons met het maken van betere regels. Maar bedrijven wilden dat niet. Daar zit de frustratie van mijn kant. Als zij ons vanaf het begin af aan meer hadden gesteund, zaten we nu niet in deze positie.’

Op 6 oktober bepaalde het Europese Hof dat het besluit uit 2000 om de VS als ‘Safe Harbor’ aan te wijzen onterecht is geweest. Safe Harbor is een gestroomlijnd proces voor bedrijven in de Verenigde Staten om te voldoen aan de Europese richtlijn uit 1995 over bescherming van persoonsgegevens. Erg belangrijk omdat veel internetbedrijven die diensten verlenen in de EU, afkomstig zijn uit de VS. Maar volgens de rechter is het veiligheidsniveau in de VS laag, het toezicht van de Amerikanen gebrekkig en de rechtszekerheid voor Europeanen minder dan die van Amerikanen. Daar komt nog eens bij dat de Amerikaanse geheime diensten en veiligheidsdienst NSA teveel rechten claimen om gegevens in te zien van Amerikaanse internetbedrijven waar ter wereld ze ook gevestigd zijn. Dat geldt bijvoorbeeld voor Facebook, Twitter, de cloud van Apple, of de servers van Microsoft. En daar maken heel wat ondernemers gebruik van.

Nu hebben de privacy-toezichthouders binnen de EU, in Nederland is dat het College Bescherming Persoonsgegevens (CBP), bedrijven tot 1 februari de tijd gegeven om hun gegevensuitwisseling juridisch op orde te krijgen. Dat kan met modelcontracten die Europees zijn goedgekeurd. Maar, zo zeggen de toezichthouders, wij gaan ook kijken of wij die modelcontracten wel voldoende waterdicht vinden. Daarmee zitten de bedrijven in een vacuüm. Komt er voor 1 februari een nieuwe Safe Harbor, dan hoeven er geen modelcontracten ondertekend te worden (zoiets levert toch extra werk op). Als dat niet gebeurt, zijn die modelcontracten dan wel voldoende? En áls daar twijfel over is, trekken alle nationale CBP’s dan dezelfde lijn? Mogelijk is er wat meer duidelijkheid als de Kamercommissie voor Veiligheid en Justitie op 3 december over Safe Harbor heeft vergaderd, maar zeker is dat bepaald niet.

Europees hek om internet
‘Dat de regels niet goed zijn, is inderdaad niet de schuld van de bedrijven’, zegt In ‘t Veld. ‘Ik snap dat het voor bedrijven die te goeder trouw zijn heel zuur is. Grote bedrijven trekken hun plan, dat zie je aan Microsoft, die gegevensopslag naar Europa verplaatst. Maar het moet natuurlijk niet leiden tot een Europees hek om internet. Dit is een goed moment voor de EU om zelfbewuster te worden in de behandeling van de VS. Een ander punt is dat nu ook de privacywetgeving aangepakt kan worden. Die is twintig jaar oud en er wordt al acht jaar onderhandeld over een trans-Atlantisch verdrag waarin de voorwaarden voor uitwisseling van privé-gegevens worden vastgelegd. Het probleem met het oude Safe Harbor-besluit was dat die genomen werd door de Europese Commissie, zonder dat het Europees Parlement daar iets aan kon doen. Dat willen we in Safe Harbor-2 beter geregeld hebben. We kunnen hier een model van maken, dat een voorbeeld is voor de rest van de wereld. Nu is het de VS, straks komt China.’

In ‘t Veld heeft goede hoop dat er voor 1 februari een oplossing is voor de tekortkomingen die de rechter heeft geconstateerd. ‘Aan déze kant van de oceaan hopen we dat voor het einde van het jaar alles goed geregeld is voor de transfer van data. De druk ligt op de Amerikanen. De EU heeft 500 miljoen consumenten, de VS 380 miljoen. De grote internetbedrijven zitten in Silicon Valley. Ik krijg de indruk dat de urgentie aan de andere kant wel is doorgedrongen. En kijk, als er vlak voor 1 februari een overeenkomst is die nog niet officieel is bekrachtigd, ga ik er van uit dat de toezichthouders niet in de tussentijd nog even lekker gaan beboeten.’

Alle dataverkeer illegaal?
Ondertussen maken Nederlandse bedrijven zich wel zorgen, maar ze zijn heel terughoudend om daarmee te koop te lopen, zegt Alex de Joode, senior adviseur beleid en public affairs bij brancheorganisatie Nederland ICT. ‘Ze willen niet het beeld oproepen dat ze onbetrouwbaar zijn’, verduidelijkt De Joode. ‘Maar dit grijpt wel in op een heel praktisch vlak. Veel bedrijven gebruiken bijvoorbeeld het Amerikaanse cloud-programma Sales Force om hun klantrelaties te monitoren. Die data gaan allemaal naar San Francisco. En wat te denken van universiteiten en hogescholen die gmail gebruiken. Dat is feitelijk allemaal illegaal geworden. Wat gebeurt daar na 1 februari mee? Als je alles op zijn Duits principieel doorakkert, mag je niet eens meer met nummerherkenning naar de VS bellen.’

Het lijkt De Joode helemaal niet ondenkbaar dat er over drie maanden nog geen nieuw Safe Harbor-besluit ligt. ‘De VS moet concessies doen, bijvoorbeeld over massasurveillance van Europese gegevens zonder beroep en bezwaarmogelijkheid. Ik waag te betwijfelen of ze meteen zeggen: Gaan we anders doen. Zij hebben ook niet het territorialiteits- principe, maar het nationaliteitsprincipe. Voor Europeanen is iedereen in de EU voor de wet gelijk, welke nationaliteit je ook hebt. In de VS maken ze onderscheid tussen Amerikanen en buitenlanders. Dat is de systematiek van hun recht.’

Wie knippert, verliest
‘Het zijn spannende tijden’, vindt De Joode. ‘Als er na 1 februari geen data meer naar de VS gestuurd mogen worden en er acties komen tegen Amerikaanse bedrijven zoals Google en Facebook, gaat de consument dat niet pikken. Die wil gebruik blijven maken van die diensten. De belangen zijn groot. Wie het eerst met de ogen knippert, verliest. Voor wie alleen in Nederland actief is, is het te overzien. Maar voor wie EU-breed aanwezig is, kan er na 1 februari een probleem zijn: wat gaan die lokale CBP’s doen? In Nederland is het CPB misschien wat praktisch aangelegd, maar Duitsers kennen niet voor niets het woord Prinzipienreiterei. Voorlopig vertrouwen we de Europese Commissie maar. Die heeft toegezegd dat er vóór februari een oplossing is. Maar ik zou het heel goed vinden als de Nederlandse overheid hier tijdens haar voorzitterschap van de EU, vanaf januari, heel hard aan gaat trekken.’

Balkanisering internet
Jochem de Groot, bij Microsoft verantwoordelijk voor public affairs in de Benelux, verwacht wel dat er tijdig een oplossing komt. Het bedrijf heeft zelf sinds juli 2014 al standaard een door de Artikel 29-werkgroep (zeg maar: het overleg van alle CBP’s in de EU) goedgekeurde aanvulling in alle contracten opgenomen. ‘De uitspraak van het Hof heeft er niet voor gezorgd dat álle uitwisseling van persoonlijke gegevens niet meer mag. De Europese Commissie, bij monde van Frans Timmermans, heeft aangegeven dat er aanvullende modelclausules gegevensuitwisseling voldoende blijven beschermen. De Artikel 29-werkgroep heeft na de uitspraak van het Europese Hof gezegd dat de EU en de VS voor 1 februari een nieuw raamwerk moeten bouwen. Ik begrijp dat ze daar al heel ver mee zijn.’

De Amerikaanse softwaregigant zit al middenin datatransfer-verwikkelingen. Microsoft heeft geruime tijd een rechtszaak lopen tegen de Amerikaanse overheid. De Amerikaanse veiligheidsdiensten willen toegang tot gegevens die Microsoft op een server in Ierland heeft staan, maar dat weigert het bedrijf. ‘Wij zeggen dat ze dat via de Ierse privacyregels moeten spelen’, legt De Groot uit. ‘De Amerikanen eisen toegang op grond van het feit dat Microsoft een Amerikaans bedrijf is. Wij vinden dat de VS hiermee zijn territoriale grenzen overschrijdt.’

De EU en de VS moeten zo snel mogelijk vastleggen hoe internet ingebakken wordt in de nationale rechtssystemen, vindt Microsoft. Topman Brad Smith schreef er op 20 oktober uitgebreid over in een blog. Jochem de Groot pleit voor een modernisering van privacyregelgeving, die rekening houdt met het feit dat internet geen grenzen kent. ‘Het komt er op neer dat de rechten van de eigenaren van de gegevens meebewegen’, schetst De Groot. ‘Gegevens van een Europeaan vallen onder de Europese regels, ook als die op een Amerikaanse server staan en vice versa. Daar moet fundamenteel over nagedacht worden. Er móet een harmonisatie komen, anders krijg je een Balkanisering van internet vol gebiedjes met een lappendeken van conflicterende regels.’

Wat de europese rechter over safe harbor besloot
De Oostenrijkse rechtenstudent Max Schrems begon vier jaar geleden met een actie tegen Facebook omdat het bedrijf zich volgens Schrems niet hield aan de Europese privacywetgeving. Hij stichtte de Europe versus Facebook-groep met duizenden medestanders. De zaak kwam in juni 2014 voor het Europees Hof, met als één van de hete hangijzers de Safe Harbor-toekenning aan de VS van de Europese Commissie. Met deze toekenning wordt de dataprotectie in de VS door de Commissie als veilig bestempeld en daardoor mogen persoonlijke gegevens – zoals verzameld door Facebook – van de EU naar de VS. Het Europees Hof besliste op 6 oktober van dit jaar dat de VS geen Safe Harbor genoemd mag worden aangezien de veiligheidsstandaarden voor privacygevoelige gegevens lager zijn dan die van de EU.

Welke bedrijven maken gebruik van Safe Harbor?
De Amerikaanse overheid heeft een lijst van ruim 5.500 bedrijven op internet staan die een aanvraag hebben ingediend om onder de Safe Harbor-regeling te vallen. Daaronder veel bedrijven die zakelijke software verkopen, maar ook giganten zoals:

1. Microsoft
2.American Apparel (klantgegevens)
3.Apple
4.Groupon
5.Google
5.Uber
7.Forbes media
8.Footlocker
9.Ford Motor Company
10.WoltersKluwer ELM Solutions

Kijk hier voor de hele lijst