Gas in ruil voor privacy: nieuwe deal EU & VS over persoonsgegevens
Vrijdag presenteerden de VS en EU dat er nieuwe afspraken zijn over delen van persoonsgegevens met de VS. Dat betekent dat we mogelijk weer Amerikaanse software kunnen gebruiken, zonder dat dit privacyproblemen oplevert. Wat mogen we verwachten?
Gas in ruil voor privacy
In feite gaan we gas ruilen voor privacy. De VS beloven ons meer zekerheid over de toevoer van gas, in ruil voor ‘niet zo moeilijk doen’ over privacy. Het is dus zeker niet zo dat de VS zich aan de EU aanpassen wat betreft de bescherming van onze privacy. Eigenlijk voldoet het doorgeven van persoonsgegevens zometeen nog steeds niet aan de AVG/GDPR.
De EU gaat die doorgifte tóch toestaan, onder enkele afspraken met de VS. Dat werd voorheen ook geprobeerd met Safe Harbour en Privacy Shield, die beiden sneuvelden door rechtszaken van de Oostenrijkse privacy-activist Max Scherms.
Wat is dan eigenlijk het probleem?
Kort door de bocht gezegd spelen er twee grote problemen:
1. De VS willen veel toegang tot data. Vooral buitenlandse data. Veelal onder het mom van het beschermen van hun land, anti-terrorisme etc.
In een recente rechtszaak werd toegestaan dat de FBI in 2016/2017 een undercover FBI-agent naar verschillende moskeeën stuurde, om daar allerlei informatie te halen over honderden Amerikanen. Recht om te weten welke informatie dan precies verzameld was, om aan te tonen dat het illegaal was, kregen de betrokkenen niet. De VS mogen spioneren en het zou staatsgeheimen blootleggen.
2. Daarmee komen we meteen bij probleem twee. Er is geen recht om te mogen procederen, wanneer de VS jouw persoonsgegevens onrechtmatig hebben gebruikt. Of misschien niet onrechtmatig, maar daar mag je dus geen juridische discussie over beginnen.
Als Amerikanen deze rechten al niet krijgen, hoe kunnen afspraken tussen de VS en de EU er dan voor zorgen dat Europese burgers deze rechten wel krijgen? Die kans is klein.
Wachten op definitieve tekst
Een definitieve tekst of afspraak is er nog niet. Dat betekent dat op het moment van schrijven het delen van persoonsgegevens met de VS, Amerikaanse bedrijven of opslaan op servers in de VS, nog steeds niet is toegestaan. Het is een inbreuk op de privacy en een schending van de AVG/GDPR. Zodra de definitieve tekst er is, is het mogelijk weer wel toegestaan om de persoonsgegevens met de VS te delen.
In de vorige varianten, Safe Harbour en Privacy Shield, was het zo dat bedrijven zich nog specifiek aan deze afspraken moesten committeren. Het zal ook nu waarschijnlijk niet zo zijn dat je blind gegevens met de VS kunt delen.
Definitieve oplossing?
De vraag is natuurlijk hoe goed deze afspraken zullen zijn. Max Schrems zit in elk geval alweer klaar om binnen enkele maanden nadat de definitieve tekst is gepubliceerd, er een rechtszaak over te starten om uiteindelijk het Hof van Justitie van de EU er een uitspraak over te laten doen. De bedoeling is dan natuurlijk om, net als in 2020 bij Safe Harbour, de afspraken weer ongeldig te laten verklaren, waardoor alle doorgiftes van persoonsgegevens naar de EU weer onrechtmatig zijn.
Deze procedure kost enkele jaren. Zolang die procedure loopt, is de doorgifte mogelijk wel legaal.
Hoe ziet de toekomst eruit?
Als de opvolger van Privacy Shield er is, mogen we dus (tijdelijk) weer Google Fonts embedden, Google Analytics gebruiken (al gaat GA4 waarschijnlijk sowieso aan de AVG/GDPR voldoen) en kunnen we weer Mailchimp en ActiveCampaign gebruiken.
Zoals we nu ook al merken, wordt er maar weinig gehandhaafd door de Autoriteit Persoonsgegevens. Vooral de grote jongens krijgen ervan langs en ziekenhuizen worden aangesproken op datalekken. Maar een gemiddelde ondernemer heeft eigenlijk nog geen last gehad van de Autoriteit Persoonsgegevens.
Komen we dan in een loop terecht van nieuwe Privacy Shield-achtige afspraken, waardoor doorgifte tijdelijk mogelijk is, de rechtszaken waardoor het weer verboden is, de AP die in de tussentijd geen capaciteit heeft om te handhaven en vervolgens weer een nieuwe opvolger van Privacy Shield? Hiermee is het wellicht niet op elk moment legaal, maar het risico op handhaving is in elk geval zeer klein.