De Europese Commissie onderneemt een derde poging: het nieuwe EU-US Data Privacy Framework zou wel houdbaar zijn onder Europees recht. Dat las ik bij AG Connect. Nadat eerst Safe Harbor en Privacy Shield sneuvelde, zou een nieuwe afspraak tussen VS en EU op magische wijze wél binnen de Europese grondrechten moeten passen. Ik zeg: moehaha, geloof je het zelf.
De basis van het verhaal is bekend genoeg denk ik. In de jaren negentig was er een overeenkomst tussen de VS en Europa (Safe Harbor) die afspraken maakte waarmee het transporteren van persoonsgegevens naar (en gebruik daarvan in) de VS legaal zou zijn onder de voorloper van de AVG.
In 2015 werd deze getorpedeerd, omdat uit de Snowden-onthullingen was gebleken hóe ver de VS gaat in haar (naar Europese maatstaven illegaal) gebruik van dergelijke gegevens door Justitie en opsporingsdiensten. De opvolger heette Privacy Shield en sneuvelde in 2020 dankzij toedoen van privacy-activist Max Schrems, vandaar dat we deze prestatie “Schrems II” noemen.
Voor ondernemers is dat een probleem, want de Amerikaanse cloud is onbereikbaar als er geen AVG-afspraken zijn. Er werd dan ook snel en hard gewerkt door de politiek om een compromis te bereiken. Dat is nu dus gelukt: met een Executive Order regelde president Biden de nodige dingen aan Amerikaanse zijde, en nu heeft de Europese Commissie gezegd dat die regeling in orde is.
Maar is dat ook zo? Het gaat hier uiteindelijk om een juridisch probleem, ingegeven door schendingen van mensenrechten. Dus dan mag de politiek wel van alles willen, uiteindelijk is dit aan de juristen. De kern van het probleem is namelijk dat de VS niet keihard haar inlichtingendiensten wil verbieden aan die transatlantische data te komen, of met een apart onafhankelijk gerecht Europeanen in staat wil stellen om op te treden tegen misbruik van persoonsgegevens (in de zin van: strijdig met de AVG).
Ik citeer Schrems maar even:
- The “trick” here: the US will attribute another meaning to the word “proportionate” than the CJEU.
- The Ombudsperson mechanism wasrenamed and split to a Civil Liberties Protection Officer (CLPO) and a so-called “Court” (which is not a court, but a partly independent executive body).
- Finally, the US has refused to reform FISA 702 to give non-US persons reasonable privacy protections.
Als cynicus zou ik dan zeggen: wat had je dan verwacht, de transatlantische handel is belangrijker dan juridisch geneuzel, natuurlijk komt de politiek dan met een compromis. Maar het begint ondertussen best opzichtig te worden dat hier iets adequaat wordt genoemd dat het daadwerkelijk niet is.
Arnoud
Wat ik me nu afvraag, gaan we dit nu elke paar jaar opnieuw doen?
Zou interessant zijn als een rechtbank bij het afkeuren van deze versie zegt dat de uitspraak van de rechtbank niet gerespecteerd wordt door de wetgever, omdat de nieuwe versies op vergelijkbare gronden worden afgekeurd.
Kan een rechter vervolgens zeggen dat een nieuwe versie pas in werking kan treden nadat deze is goedgekeurd door deze rechtbank? Met daarbovenop dat er geen nieuw overgangstermijn is ontstaan door het afkeuren van deze versie en dat rechtszaken over schendingen van het AVG dus per direct kunnen beginnen.
Het zou ook niet geaccepteerd worden als een gemeente ergens aan het bouwen is met een ongeldige milieu onderzoek en dat ze elke keer als een rechter de bouw stop legt vanwege het foute onderzoek met een nieuw fout onderzoek komen om door te kunnen bouwen. Op gegeven moment zal de rechter zeggen en nu stoppen we met bouwen totdat ik het nieuwe onderzoek heb goedgekeurd.
Ronald, ik begrijp je suggestie, heel pragmatisch, past bij de manier waarop ik als ingenieur denk..
Probleem bij deze suggestie is de scheiding der machten (wetgevende, juridische en uitvoerende macht.) Het zou niet gepast zijn als de juridische macht op de stoel van de uitvoerende macht zou gaan zitten. Aan de andere kant kan ik me het goed voorstellen dat er uit het oogpunt van rechtsbescherming een einde moet komen aan de vijfjarige cyclus van verdrag en verdragsvernietiging. Het feit dat het Europese Hof van justitie het recht heeft om het verdrag te vernietigen zou een rechtvaardiging kunnen zijn om de (mogelijk) opvolger ter evaluatie aan hetzelfde hof voor te laten leggen voordat deze in werking treedt. Het is uitzonderlijk wanneer de EC dit voor de derde keer op rij niet goed voor elkaar krijgt, vandaar dat ik in dit geval achter een toetsing vooraf kan staan.
Blijkbaar vind deze Eurocommisaris ook dat er niets inhoudelijk te verdedigen is en speelt het dan maar op de man.
https://www.security.nl/posting/802949/Privacyactivist+Max+Schrems+wil+dat+Eurocommissaris+beschuldiging+intrekt
Kortom, een powerplay tussen US en EU. Conflicterende wetgeving met extraterritoriale werking, waar bedrijven in vermalen worden omdat er voor hen geen oplossing is. Immers, beide wetten hebben een ruime scope en er is geen waterdichte oplossing om aan beide wetten te voldoen , je kunt hooguit hopen dat de toezichthouder je niet komt beboeten om wat je bent: een US-owned bedrijf met activiteiten in de EU. Het bedrijfsleven is dit circus iig aardig zat. We zien het als een leuke exercitie voor colleges en activisten. Dat verklaart dat niemand uit het bedrijfsleven behalve de paar techreuzen er echt mee bezig is om iets ter verzinnen om uit die rare spagaat te komen, we hebben wel wat beters te doen. Mijn voorspelling: ook als Schrems weer wint, blijven we gewoon allemaal die US diensten gebruiken omdat we niet anders kunnen. Fraai zo’n wetgever die proportionaliteit niet echt interessant vindt als het om EU powerplay gaat.
Is het dan echt onmogelijk om als bedrijfs er voor te zorgen dat persoonsgegevens opgeslagen worden in het land (or juridische regio) van die persoon? Liefst met een constructie dat de US die niet naderhand kan patriotisch kan opeisen?
Ow is het niet een kwestie van onmogelijk, maar van gewoon niet willen?
Ik merk dat er veel misverstanden zijn over dit onderwerp, met name over de rol van bedrijven en hun mogelijkheden om alleen aan de GDPR en niet aan de Cloud act te moeten voldoen.
Ten eerste, het begrip persoonsgegevens is zeer ruim. IP adressen, email adressen zijn persoonsgegevens. Dus alle log files bevatten persoonsgegevens. Met versturen van elk mailtje, met elke login, met elke transactie / klik op het internet deel je dus (je) persoonsgegevens. Vervolgens, gebruikt de wet de term “transfer”, die de niet-jurist associeert met iemand die een kopietje maakt en dat naar de VS stuurt. Maar zo zit het helemaal niet. De “transfer” is impliciet aan gebruik van een online service, want er zit altijd wel ergens in de technische keten een US bedrijf, of onderdeel van een US bedrijf, dat (dus) onderworpen is aan de US wetgeving. Of data / servers in de EU staan of niet, doet daarbij niet terzake laat deze analyse zien van ons eigen NCSC Kortom, er is geen ontsnappen aan die US Cloud act
Dan : wat kunnen bedrijven daaraan dan doen? Dat is sowieso voor een gemiddeld bedrijf bizar complex, zonder juristen is het niet te doorgronden. Het antwoord wat je van hen krijgt hangt af van wie het geeft: de een zegt doe A, ander doe B, de derde: het is niet mogelijk. Idem bij toezichthouders: ondanks het feit dat een besluit van een privacy toezichthouder Europese werking heeft, verschillen ze onderling toch van mening over wat mag en wat niet. En ondanks die legers echt geen domme juristen die geprobeerd hebben het te regelen conform de verdragen, heeft het europese hof en toezichthouders ook dat dus dat nu al 2x afgeschoten.
Kortom, vandaar dat het bedrijfsleven er wel klaar mee is. VNO-NCW en NL digital hebben dat al eens aan het AP gemeld: geef ons helder en uitvoerbaar advies , geen orakeltaal van “doe een DPIA, bestudeer de wet in het derde land, en neem maatregelen om de risico’s van transfers te beperken”. Daar kan niemand iets mee, en dat werkt dus evident niet, en dus wordt die hele transfer kwestie door iedereen die in NL services met US onderdelen gebruikt (bijna iedereen dus) aan de spreekwoordelijke laars gelapt.
Hoop dat dit, geschreven vanuit het perspectief van IT / digitale bedrijven in het algemeen, wat duidelijkheid geeft over hoe die er naar kijken.