Meta krijgt Ierse AVG-boete van 1,2 miljard euro voor illegale dataoverdrachten en vooral een verbod ermee door te gaan

De Ierse privacytoezichthouder heeft Meta een AVG-boete van 1,2 miljard euro gegeven, las ik bij Tweakers. Dit vanwege het gebruik van de zogeheten ‘standaard contractuele clausules’ als grond voor de overdracht van persoonsgegevens naar buiten de EU, wat sinds het ineenstorten van het Privacy Shield de schaamlap werd waarmee privacyjuristen een en ander rechtvaardigden.

De beslissing (leeswaarschuwing: 222 pagina’s) begint ergens in de jaren negentig bij het Safe Harbor regime, waarmee je onder de Gegevensbeschermingsrichtlijn persoonsgegevens kon overbrengen naar de VS. Dat is relevant, want zowel Safe Harbor als Privacy Shield zijn gesneuveld vanwege in de kern dezelfde problematiek: de VS biedt geen adequaat beschermingsregime voor persoonsgegevens, en een individuele verwerkingsverantwoordelijke kan te weinig doen om het in haar geval toch adequaat te maken.

Dit nog los van dat niemand iets dééd om het adequaat te maken. Toen roepen “er is een Privacy Shield dus we zitten goed” niet meer mocht, werd dat meteen veranderd in “we hebben SCC’s afgesproken dus we zitten goed”. Mocht u zich afvragen wat er in vredesnaam in die dingen stond – u kunt ze hier nalezen in al hun ellenlange juridische glorie, maar het komt neer op een papieren werkelijkheid, mooie woorden over borgen van rechten en afdwingen van bevoegdheden. Ik ben vergeten wie zei dat juristen de magiërs van deze tijd zijn: schrijf een mooie clausule over hoe het moet zijn en presto, de wereld is veranderd.

De SCC zijn een mooi voorbeeld van zo’n papieren werkelijkheid. Ja, ze binden de verstrekker uit de EU en de ontvanger uit de VS juridisch en verplichten ze tot medewerking aan allerlei zaken die betrokkenen zouden kunnen wensen. Denk aan inzage of verwijdering. Maar ze werken alléén in die relaties, want andere partijen kun je niet binden als die niet mee willen werken. En wat was ook weer de reden dat Safe Harbor en Privacy Shield sneuvelden? Precies, dat Amerikaanse overheidsdiensten bij de persoonsgegevens konden. En die zijn niet aan SCC gebonden.

Anders gezegd: met enkel SCC afspreken kun je niet borgen dat de rechten van je gebruikers daadwerkelijk gehandhaafd kunnen worden, en dat is uiteindelijk wel een keihard vereiste voordat je persoonsgegevens structureel in een ander land opslaat. Want wat kan er zoal gebeuren? Ik citeer een paar voorbeelden uit de beslissing.

Section 702 FISA permits the Attorney General and the Director of National Intelligence to authorise jointly, following FISC approval, the surveillance of individuals who are not US citizens located outside the US in order to obtain “foreign intelligence information”, and provides, inter alia, the basis for the PRISM and UPSTREAM surveillance programmes. EO 12333 allows the NSA to access data “in transit” to the US, by accessing underwater cables on the floor of the Atlantic, and to collect and retain such data before arriving in the United States and being subject there to the FISA. Activities conducted pursuant to EO 12333 are not governed by statute.
Deze bevoegdheden worden niet beperkt door het hanteren van SCC’s, of zelfs maar door de Privacy Shield-afspraken die eerder golden. Dus dan kun je SCC’en wat je wilt, deze risico’s blijven bestaan. En deze vorm van surveillance/datagraaien is eenvoudigweg in strijd met de fundamentele rechten van burgers in de EU. En dát is waarom het misgaat.

Meta had daar tegenover gesteld dat zij data alleen sterk versleuteld overbrengen vanuit Europa naar haar datacenters in de VS. Dus dan kan FISA of die executive order wel toelaten dat de NSA de onderzeekabel aftapt (het gaat immers om personen buiten de VS), maar ze kunnen er niets mee. Alleen is dat juridisch geen argument. De Europese wetgeving eist juridische borging, de mogelijkheid van een beroepsprocedure bij de rechter bijvoorbeeld. En die is er niet. Daarmee is de situatie in de VS dus fundamenteel niet in orde, en dat Meta dan denkt dat haar encryptie onkraakbaar is, is dan niet relevant. Als ze meer denken te kunnen doen, dan hebben ze dat in ieder geval niet toegelicht.

Het punt is dus wel duidelijk: het is fundamenteel mis in de VS met gegevensbescherming (joh, echt) en enkel een stapel papier produceren met modelclausules gaat daar geen sikkepit aan veranderen. Voor het toch stelselmatig exporteren van Europese persoonsgegevens wordt een boete van 1,2 miljard Euro opgelegd. En belangrijker: een verbod om ermee door te gaan. Want ik zie de “oh 1,2 miljard is niks” comments alweer langskomen:

I make an order pursuant to Article 58(2)(d) GDPR to require Meta Ireland to bring its processing operations into compliance with Chapter V GDPR, by ceasing the unlawful processing, including storage, in the US of personal data of EEA users transferred in violation of the GDPR, within 6 (six) months following the date of notification of this Decision to Meta Ireland
Meta krijgt twaalf weken om af te bouwen, en moet binnen vier weken gedocumenteerd laten zien wat het plan is en waarom dat zal leiden tot stoppen van de export. Komt er geen plan, dan moeten ze nog steeds stoppen en dan zoeken ze zelf maar uit hoe dat moet gebeuren. Maar wel binnen die 12 weken dus.

Deze boete en dit stopbevel geldt alleen voor Meta natuurlijk, want die zijn de aangesproken partij. Maar, zo merkt men vervolgens op:

It is clear, however, that the analysis in this Decision exposes a situation whereby any internet platform falling within the definition of an electronic communications service provider subject to the FISA 702 PRISM programme may equally fall foul of the requirements of Chapter V GDPR and the EU Charter of Fundamental Rights regarding their transfers of personal data to the USA.
Dat is dus ook weer een heel fundamentele. Zoals mijn collega Caroline al schreef, “dit besluit van de DPC duwt het nu echt onvermijdelijk in ons gezicht”: we zitten vast, er is een fundamentele mismatch tussen wat bedrijven als Meta of Google (die dit met Analytics ook al kreeg) graag willen en wat de wet zegt, en hoewel de wet traag is, komt er een punt dat je gewoon moet accepteren dat dit niet meer kan. Het vervelende is alleen, dit is niet een punt waar de wetgever iets van wil vinden, en de rechter kan weinig anders dan bevestigen wat in deze beslissing staat. Dat de maatschappij dan wellicht vastloopt, is een implementatiedetail.

Arnoud

 

22 reacties

  1. Dus als ik het goed lees komt het er heel kort op neer dat bedrijven die zowel in de EU als de US actief zijn er voor moeten zorgen dat data van EU bezoekers niet zomaar in de US opgeslagen worden.

    Voor een sociaal netwerk zou dat dus betekenen dat een Amerikaan nooit een vriendschapsverzoek naar een Europeaan kan sturen, want als het goed is kan hij die Europeaan nooit vinden, want gegevens van die Europeaan mogen niet naar de US gestuurd worden? En als hij hem al volgde, dan mag hij geen updates meer lezen.

    1. Zolang de data de Europese servers niet verlaat, en die servers eigendom zijn en beheert worden door een niet US (of vergelijkbare) entiteit is er geen enkel probleem. De issue zit hem (als ik het goed begrijp) in de data opslaan in de US.

      Je kan dus best de server waarop de US gebruiker zit elke keer dat hij een tijdslijn wilt opbouwen op de achtergrond aan een EU server laten vragen wat die data is.

      En het gaat uiteindelijk alleen om persoonsgegevens. Ik durf nog wel te verdedigen dat bijv. de IDs van posts die in de tijdslijn getoond moeten worden gewoon in de US kan bewaren, waardoor je alleen maar de inhoud en metadata in de EU hoeft op te halen.

      Volgens mij is het probleem er niet met Canada, dus dan is het een kwestie van een aantal grote datacenters bouwen net over de US/Canadese grens en ze kunnen zelfs alle data dicht bij de US opslaan.

      @Arnoud is er nog een mogelijkheid voor EU gebruikers om expliciet toestemming te geven dat de data in de US mag opgeslagen worden (zolang deze toestemming natuurlijk ook vrijelijk in te trekken is)?

      1. Je kan dus best de server waarop de US gebruiker zit elke keer dat hij een tijdslijn wilt opbouwen op de achtergrond aan een EU server laten vragen wat die data is.

        Dan gaat de data toch over een lijn en kunnen Amerikaanse diensten die afluisteren?

        Als inderdaad de consequentie is dat ik op Facebook geen niet-EER vrienden meer mag hebben (hoe zit het met Brazilië, Chili, Mexico?) dan vind ik dat absurd en voel ik mij geschonden in mijn grondrecht van het vrij tot mij nemen van informatie.

        Ik vind al langer die privacyhype overdreven en onevenwichtig. Privacy wordt gezien als een heilige graal die al het andere opzij zet. Dat vind ik niet terecht.

    2. Voor een sociaal netwerk zou dat dus betekenen dat een Amerikaan nooit een vriendschapsverzoek naar een Europeaan kan sturen, want als het goed is kan hij die Europeaan nooit vinden, want gegevens van die Europeaan mogen niet naar de US gestuurd worden? En als hij hem al volgde, dan mag hij geen updates meer lezen.

      Dat KAN en MAG toch niet waar zijn, hoop ik. Dat vind ik een schending van mijn grondrechten.

      Ik zet toch zeker ZELF die updates op Facebook, met de BEDOELING dat al mijn Facebook-vrienden die kunnen lezen? Sterker nog, niet alleen vrienden, want ik heb mijn profiel op “leesbaar voor iedereen” staan. Bewust.

      En dat zou dan niet mogen omdat dat MIJN privacy zou schenden? Dat is toch absurd? Want ik wil het zelf verspreid zien, in principe over de hele wereld, als iemand het ergens wil lezen.

      Please, zeg me dat dit niet waar is.

      1. Als dit waar is, dan moet op dit blog ook een technische voorziening komen zodat het buiten de EER niet leesbaar is, omdat de namen van niet anonieme reageerders persoonsgegevens zijn.

        Maar dat schendt dan het grondrecht van vrije toegang tot informatie van Nederlandstaligen die interesse hebben in de onderwerpen in dit blog, die buiten de EER (Economische Europese Ruimte) wonen.

        1. Dat zijn inderdaad persoonsgegevens, maar ik breng ze niet over naar de VS wanneer iemand uit de VS mijn blog opvraagt. Verder geldt bij journalistieke verwerkingen (elke blog en haar comments zijn journalistiek) dat doorgifte gewoon toegestaan is, ook als dat niet conform de AVG gaat (zie in Nederland artikel 43 Uitvoeringswet AVG).

          1. OK, duidelijk. Maar het e-mailverkeer tussen EER en USA moet wel afgesloten worden, want dat is lang niet allemaal journalistiek-artistiek, denk ik.

            Dat is er nog die rare (vind ik) formulering van artikel 43 van de Uitvoeringswet AVG: https://www.eerstekamer.nl/behandeling/20180313/gewijzigdvoorstelvanwet2

            de verwerking van persoonsgegevens voor uitsluitend journalistieke doeleinden
            .

            “Uitsluitend”, dus zodra er ook maar een spoor van een niet-journalistiek aspect bij zit, geldt die uitzondering niet meer. Onzin natuurlijk, maar het STAAT er wel.

  2. Wat moet er eigenlijk met de bestaande data bij Meta gebeuren? De rechtvaardigingsgrond is weggevallen en je mag niet eensklaps een andere grondslag voor de bestaande data opvoeren. Dan zou al die data toch gedelete of naar Europa overgebracht moeten worden?

  3. Dat zou dus ook inhouden dat elke opvolger van Safety Harbour en Privacy Shield bij voorbaat gedoemd is om hetzelfde lot te ondergaan, goh wat een verrassing eigenlijk, tenzij of totdat bepaalde wetgevingen in de VS worden afgeschaft? Met die kennis, kunnen leden van de Europese Commissie of Europees Parlement nu bestuurlijk aansprakelijk worden gesteld als ze toch proberen een opvolger op poten te zetten? Van der Leyen heeft namelijk al een concept klaarliggen.

  4. “Dat de maatschappij dan wellicht vastloopt, is een implementatiedetail.”

    Nee, dan wordt zo’n wet “gewoon” een dode letter.

    En terecht: hoewel ik een ${NARE_ZIEKTE}hekel heb aan grote bedrijven die wel even met onze persoonsgegevens aan de haal gaan, is de EU als organisatie geen haar beter, en vinden ook binnen de EU dagelijks zoveel AVG-overtredingen plaats, dat men beter eerst het eigen huis op orde kan maken, in plaats van meteen met vingertjes te wijzen naar buitenlandse bedrijven die in een heel ander ondernemingsklimaat draaien.

    Het gaat dan ook helemaal niet om onze privacy: het gaat erom of wij, als EU-onderdanen, klant mogen worden van bedrijven buiten de EU. Dat zijn we ook weer bij de Ali-belasting (ook hier weer: ik heb een hekel aan Ali e.d.); we zagen het al eerder bij het door de strot drukken van RoHS. Het is gewoon concurrentievervalsing, door lobbyisten in Brussel verpakt als consumentenbescherming.

    Het beoogde middel is dan ook weer erger dan de kwaal: naast bedrijven als Meta zullen talloze kleinere bedrijfjes — en hun EU-klanten — hier uiteindelijk slachtoffer van worden. “Biedt die diensten dan vanuit de EU aan” is dan geen argument, want in de praktijk gebeurt dat gewoon niet. En daar is een reden voor.

    Het mooite aan het Internet is juist dat je met verschillende culturen in aanraking komt, die dingen anders oplossen, en dat je zo’n “buitenlandse” oplossing meteen zelf kunt toepassen. Maar ja: de EU is een bedrijvenunie, een conglomeraat, met als voornaamste doel om de interne markt te beschermen. En daarvan zijn wij, “arme consumenten”, die tegen het boze buitenland “beschermd” moeten worden, uiteindelijk de dupe.

    De EU is groot geworden met salamitactieken, maar overspeelt nu en dan haar hand. En dan wordt zo’n wet inderdaad (op punten) een dode letter.

    Wedden dat men in Brussel nu weer het plan voor een eigen EU-Internet gaat oprakelen? Want dat is dan altijd weer de reactie, als een plannetje mislukt: in een hoekje gaan zitten mokken dat de consument niet wordt beschermd. Terwijl het hun alleen maar om controle gaat.

    Zeau, dat moest eruit 🙂

      1. Ik heb mijn hosting lang bij Tilaa gehad (puur Nederlands, puur Europees), nu bij Virtua (Parijs, Lille, maar er zijn ook Amerikaanse servers mogelijk). Dat zijn ook een soort Europese clouds. Maar als iemand buiten de EER nu verhaaltjes van mij leest, met daarin dingen over mijzelf, dus persoonsgegevens, of over anderen, bijvoorbeeld musici die ik recenseer, dat zou dan niet naar Amerikaanse lezers mogen? Tenzij onder een journalistieke uitzondering?

        Dat kan toch niet waar zijn, dat is toch absurd? Daarvoor is privacy toch nooit bedoeld geweest?

        Moet ik dan op me ouwe dag toch nog naar Amerika verhuizen (een land dat me niet aantrekt) om aan de Europese privacygekte te ontsnappen en mijn vrijheid te herstellen? Ik dacht echt dat ik goed zat hier in Europa.

  5. @Ruud Harmsen 28 mei 2023 @ 21:31: Er is in Brussel al vaker geopperd om een parallele DNS-infrastructuur,n waarmee “digitale soevereiniteit” bereikt zou kunnen worden, op te zetten.

    Bedoeld werd uiteraard: een Great Firewall of NATO-Aligned Europe. Dat bekt niet zo lekker, en klinkt ook niet heel plezierig. Daarom is die keutel steeds weer ingetrokken, al zien we wel met regelmaat misbruik van de bestaande DNS-infrastructuur om onwelvallige sites zoveel mogelijk onbereikbaar te maken.

    Toestanden als in China zijn ook hier allang onderweg. Dit is er 1 van.

    Voor ons eigen bestwil, uiteraard, net zoals je kinderen bij voorkeur alleen maar zoetsappige tekenfilms laat zien en zoutlouze AVI-boeken laat lezen. Zo denken overheden: betuttelend en belerend, eigenlijk ordinaire onderdrukking van zowel kind als nu ook volwassene.

    Toch is het niet hopeloos. Protesteer, omzeil, maak de technocraten irrelevant door ze straal te negeren en gewoon te doen wat goed is. Een ruggegraat is alles wat je daarvoor nodig hebt 🙂

    En maak de wet. Maak het recht. Het gewoonterecht is springlevend, vorm het en maak er gebruik van! De geschreven wetten volgen wel.

    (Toch nog iets juridisch, en dus on-topic =)

  6. @Ruud Harmsen 28 mei 2023 @ 21:48:

    Er is helemaal geen privacygekte, ten minste niet vanuit Brussel. Grove schendingen worden om de haverklap weggewuifd. Echt, het enige wat ik me kan bedenken is dat dit altijd al de bedoeling is geweest: burgers isoleren.

    Het is echt geen foutje dat GeenStijl en de GPD op de bestrijdinglijst kwamen. Ze brachten immers voor de EU onwelvallige informatie naar buiten. En nu zijn Russische nieuwsbronnen gecensueerd, terwijl er in de gezagsgetrouwe media van de daken wordt geschreeuwd dat de Russiche censuur moet stoppen.

    Hypocriet? Welnee. Brood en spelen voor de burger. Oorlog is goed voor de zaken. Vrede is goed voor de zaken. Als het maar afwisselt. Wat geld en macht brengt is goed. Wat geld en macht weghaalt is fout. Zo is het altijd geweest, en ook de glorieuze invoering van de democratie heeft ons daar niet voor kunnen behoeden.

    Sorry voor de plens koud water. Maar het is nu toch wel overduidelijk dat zulke “beschermingswetten” vrijwel altijd over onderdrukking gaan?

    Wat een nare toespraak, he? Zo vol desinformatie. Misschien dat de glorieuze Europese Digitale Identiteit de orde kan herstellen. (Over mijn lijk, dat dan weer wel.)

    (Ik vraag me af hoelang het duurt voor ik de AIVD over me heen krijg. Kritische burgers zijn immers de vijand. O ja, ik woon niet meer in .nl, dat maakt het allemaal nog spannender. Ik moet even naar de WC…)

  7. Hoe zit dat met radioamateurs (ham radio)? Die sturen call signs, waarvan raadpleegbare databases bestaan waarin vaak namen en soms adressen staan. Persoonsgegevens dus. Bij bijv. FT8 en FT4 worden ook grid locations doorgegegeven (onnauwkeurige weliswaar).

    Dit alles onvercijferd wereldwijd over de korte golf, dus gemakkelijk afluisterbaar voor ook Amerikaanse diensten zonder goede privacybescherming. Deelnemers slaan de ontvangen gegevens vaak op in logboeken.

    Mag ham radio dan nog wel volgens de AVG?

  8. @Ruud Harmsen 29 mei 2023 @ 08:36:

    Je hoeft het natuurlijk niet te zien zoals ik het zie… maar hou er alsjeblieft rekening mee dat ik wel eens gelijk zou kunnen hebben.

    Ik hoop zelf ook nog steeds overtuigd te worden dat ik het bij het verkeerde eind heb. Maar ja, in de praktijk gebeurt het tegenovergestelde. Confirmatiebias? Misschien. Of toch misschien gewoon te vaak een plens koud water gehad <g&rt;.

    [Ik hoop dat die smiley goed doorkomt.]

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.