EU gaat Verenigd Koninkrijk adequaat verklaren voor export persoonsgegevens

De EU-lidstaten hebben zich achter besluiten geschaard om het belemmeren van gegevensstromen na het vertrek van Groot-Brittannië uit de EU te voorkomen. Dat las ik bij Tweakers, en ik moest het ook twee keer lezen. Voor de juristen: we zijn een stapje dichterbij een adequaatheidsbesluit voor het Verenigd Koninkrijk, wat zou betekenen dat er zonder aanvullende bijzondere maatregelen persoonsgegevens in die unie mogen worden opgeslagen. De keuze roept wel vele vragen op, vooral omdat het VK bekend staat om haar massadataspionage die ze deelt met onder meer de Verenigde Staten.

Het plan hiertoe werd al in februari opgevat als een logisch gevolg van de Brexit: zonder een besluit als dit mogen in principe geen persoonsgegevens vanuit de EU naar het VK. Je moet dan gaan werken met de ingewikkelde Standard Contractual Clauses én je moet dan zelf nagaan of het VK veilig genoeg voor jou is. Een adequaatheidsbesluit lost dat op, omdat de Europese Commissie dan zelf verklaart dat het wel goed zit in het VK. De AVG zegt dat je dan niet zelf nog aanvullende controles uit hoeft te voeren. (Een verwerkersovereenkomst bij een Engelse IT-leverancier blijft wel vereist, maar dat is niet anders dan bij een Duitse of Italiaanse.)

De parallel met de Verenigde Staten doet zich meteen voor. Op grond van de Privacy Shield overeenkomst mocht je ook zonder nadere maatregelen data in de VS stallen (dat was geen adequaatheidsbesluit maar dat is iets voor de echte puristen). Daar is natuurlijk een streep door gehaald waarna iedereen met de handen in het haar zit hoe het gebruik van Amerikaanse diensten (van zeg Mailchimp tot Amazon) nog recht te breien.

De belangrijkste reden voor die streep was het uitgebreide spionageprogramma van de VS dat door Edward Snowden werd onthuld. In mei oordeelde het Europese Hof voor de Rechten van de Mens nog dat de Britse inlichtingendienst GCHQ met haar bulkdatagraaien de Europese grondrechten schendt. Nou is formeel het EVRM een ander verdrag dan de EU, maar deze rechten gelden wel gewoon in Europa én ze komen overeen met EU-grondrechten zoals in het Handvest vastgelegd. Het ligt dus laten we zeggen niet voor de hand dat het Europese Hof van Justitie anders zal oordelen. En een land dat zulke dingen structureel doet, kun je niet adequaat noemen.

Je zou je dan ook de vraag kunnen stellen waarom de EU nog verder gaat met deze procedure, want het voelt een weinig kansrijke papieren constructie. Nou ben ik nog wel eens cynisch over die dingen, dus mijn idee is dat men het doet zodat er een papieren constructie is (zodat de handel door kan) totdat het HvJ er een keer aan toekomt (over een jaar of drie) om dit af te schieten. Met als bijkomend voordeel dat het dan niet jóuw politieke keuze was om dit tegen te houden, maar een uitspraak van een onafhankelijke rechter waar niemand jou op aan hoeft te kijken.

Arnoud

 

7 reacties

  1. Als over een jaar of drie een rechter een dikke streep hierdoor zet, dan zou het in mijn ogen mooi zijn als hij geen overgangsperiode biedt, maar direct hoge dwangsommen oplegt als er niet per direct (zeg binnen 48 uur) gestopt wordt, inclusief het wissen van al verplaatste data.

    Iedereen die hier mee werkt weet wat er met het Privacy Shield gebeurd is en waarom dat gebeurd is. In het achterhoofd houdende dat het EVRM geoordeeld heeft dat in het VK dezelfde problemen spelen waardoor het Privacy Shield onderuit was gehaald, kan iedereen verwachten dat deze adequaat verklaring flinterdun is en elk moment om kan vallen. Als je vervolgens op deze flinterdunne fundering je hele bedrijf laat draaien, dan hoef je geen medelijden te krijgen als die fundering wegvalt.

    1. Als over een jaar of drie een rechter een dikke streep hierdoor zet, dan zou het in mijn ogen mooi zijn als hij geen overgangsperiode bied, maar direct hoge dwangsommen oplegt als er niet per direct (zeg binnen 48 uur) gestopt wordt, inclusief het wissen van al verplaatste data.

      Sommige uitspraken zijn snel op te volgen, maar per direct de stekker uit je halve IT-landschap, dat overleeft geen organisatie. Waar ik hier er gemakshalve van uit ga dat ook de uitwijkomgeving (die men heeft, toch? Toch?) buiten de EU staat. Geen samenwerkingsomgeving hebben, soit. De stekker uit je HRM-systeem is zachtgezegd erg vervelend maar is vast te overleven. Maar als een zorginstelling opeens geen EPD meer heeft of het waterbedrijf geen beheersysteem dan zijn de consequenties wat vervelender.

      Ik zou het vanwege de genoemde redenen niet aandurven om nu nog expliciet te kiezen voor een Britse hoster, of een SaaS-dienstverlener die er host. Groot risico op migratiekosten t.z.t. En dan vooral vanaf mei ondanks dat ‘we’ wel boter op het hoofd hebben door er nu pas over te beginnen terwijl dit al lang voor de Brexit bekend was.

      Maar vooruit, beetje cynisch zijn mag: kans dat, afhankelijk van de hoeveelheid handel die er dan nog is, er wel een nieuwe papieren omweg wordt gevonden a la Safe Harbor -> Privacy Shield.

      1. Sommige uitspraken zijn snel op te volgen, maar per direct de stekker uit je halve IT-landschap, dat overleeft geen organisatie. Waar ik hier er gemakshalve van uit ga dat ook de uitwijkomgeving (die men heeft, toch? Toch?) buiten de EU staat

        Dat is de ene kant. Aan de andere kant onderneemt men wel veel opportunistisch met oogkleppen op. Het heeft meer dan 2 jaar geduurd voordat het VK daadwerkelijk de EU verlaten heeft. Dat was op zich genoeg tijd voor bedrijven om te bedenken dat ze wellicht hun infra moesten wegverhuizen daar. Het is wat dat betreft wellicht vergelijkbaar met de GDPR. Die had ook een inwerkingsperiode van 2 jaar, maar de meeste bedrijven begonnen zich zo’n 6 weken voor inwerkingtrede echt druk te maken over de AVG.

        Op diezelfde manier komt er iedere paar jaar wel weer een uitspraak dat de VS niet goed om kan gaan met persoonsgegevens. Nog steeds blijven bedrijven al hun data bij Amerikaanse toko’s stallen. Wanneer is het dan genoeg?

  2. Bijkomend voordeel is dat scheiding nu nog vers is en zeer doet aan beide kanten, en het over twee of drie jaar duidelijker zal zijn hoe de relatie op langere termijn evolueert, zodat er best wel wat voor te zeggen is om een definitieve beslissing uit te stellen.

    1. Zolang er geen “definitieve beslissing” is, is de default toch “mag niet” ?

      Onee sorry dat is common sense, en dat geldt in de wondere wereld van bedrijven natuurlijk niet. Daar geldt “alles mag totdat er iemand definitief zegt dat het echt niet mag, en dan klagen we nog een paar jaar dat we in een overgangsperiode zitten en niet zomaar onze hele bedrijfsvoering kunnen omgooien, ook al had iedereen er voor gewaarschuwd en was het overduidelijk dat dit er aan zat te komen”…

      1. Als er een EU beslissing is ‘mag wel’ dan is dat geldig totdat dat vernietigd is. Of jij een vernietiging zag aankomen, of 90% dat zag aankomen, is niet relevant.

        Je kunt niemand verwijten de grenzen van de wet op te zoeken, en op een bepaalde manier (die bedrijven geven werk aan 10duizenden of 100 duizenden mensen) is het toe te juichen dat ze de grenzen opzoeken.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.