Facebook gaat echt niet weg uit Europa; SEC filings zijn indekdocumenten, geen strategiepowerpoints

| AE 13154 | Ondernemingsvrijheid | 6 reacties

Als Meta geen legale mogelijkheid heeft om data van Europese gebruikers op Amerikaanse servers te verwerken, dan zullen Facebook en Instagram waarschijnlijk niet meer werken in de EU. Daarmee opende Tweakers vorige week. Die legale mogelijkheid is een herziening of vernieuwing van de Privacy Shield-overeenkomst tussen de VS en de EU, die een paar jaar geleden werd afgeschoten wegens fundamentele gebreken. Het klinkt dramatisch, maar let op de bron: de jaarlijkse 10-K filing van Metabook. Dat is een zuiver indekdocument, geen bedrijfsstrategie.

Het is natuurlijk waar dat Meta, Google en collega’s een enorm probleem hebben met het overbrengen van data uit Europa naar de VS. Zonder opvolger van Privacy Shield is er eigenlijk geen legale manier om dat te doen, dus als daar strikt op wordt gehandhaafd dan houdt het op.

Ja, haha, strenge handhaving. Wie gelooft daar in? Ik ook niet, maar ik kan als jurist niet ontkennen dat het theoretisch gezien kan gebeuren. En dan heb je als beursgenoteerd bedrijf een probleem, want zulke risico’s kunnen je beurskoers aantasten en dan moet je er voor waarschuwen. De gebruikelijke manier is door dat op te nemen in je 10-K:

The government requires companies to publish 10-K forms so investors have fundamental information about companies so they can make informed investment decisions. This form gives a clearer picture of everything a company does and what kinds of risks it faces.
Het idee is dus openheid en volledigheid, zodat alle aandeelhouders (en potentiële kopers) dezelfde informatie hebben en dus op gelijke voet aan de wedstrijd beginnen. In de praktijk is het allang verworden tot een “noem ieder risico dan kunnen ze niet zeggen dat we het vergeten te melden zijn”. Want niet-gemelde risico’s die zich toch voordoen, zijn natuurlijk een prachtige bron voor aansprakelijkheidsclaims naar bedrijf of bestuurders.

Afijn. De kern is: het is geen strategiedocument, dit is niet wat Facebook het komende kwartaal op de radar heeft. Dit is het resultaat van de brainstormsessie bij de afdelingen Legal en Compliance, wat zou er eventueel aan risico’s kunnen spelen waar iemand over kan klagen dat we het vergeten zijn. Ik zou er dus geen waarde aan hechten.

Wie weet er nog een goede naam voor het opvolgverdrag? Op Twitter is #PrivacyTrampoline erg populair, ik zelf vond Privacy McPrivacyface wel een aardige.

Arnoud

EU gaat Verenigd Koninkrijk adequaat verklaren voor export persoonsgegevens

| AE 12748 | Privacy | 7 reacties

De EU-lidstaten hebben zich achter besluiten geschaard om het belemmeren van gegevensstromen na het vertrek van Groot-Brittannië uit de EU te voorkomen. Dat las ik bij Tweakers, en ik moest het ook twee keer lezen. Voor de juristen: we zijn een stapje dichterbij een adequaatheidsbesluit voor het Verenigd Koninkrijk, wat zou betekenen dat er zonder aanvullende bijzondere maatregelen persoonsgegevens in die unie mogen worden opgeslagen. De keuze roept wel vele vragen op, vooral omdat het VK bekend staat om haar massadataspionage die ze deelt met onder meer de Verenigde Staten.

Het plan hiertoe werd al in februari opgevat als een logisch gevolg van de Brexit: zonder een besluit als dit mogen in principe geen persoonsgegevens vanuit de EU naar het VK. Je moet dan gaan werken met de ingewikkelde Standard Contractual Clauses én je moet dan zelf nagaan of het VK veilig genoeg voor jou is. Een adequaatheidsbesluit lost dat op, omdat de Europese Commissie dan zelf verklaart dat het wel goed zit in het VK. De AVG zegt dat je dan niet zelf nog aanvullende controles uit hoeft te voeren. (Een verwerkersovereenkomst bij een Engelse IT-leverancier blijft wel vereist, maar dat is niet anders dan bij een Duitse of Italiaanse.)

De parallel met de Verenigde Staten doet zich meteen voor. Op grond van de Privacy Shield overeenkomst mocht je ook zonder nadere maatregelen data in de VS stallen (dat was geen adequaatheidsbesluit maar dat is iets voor de echte puristen). Daar is natuurlijk een streep door gehaald waarna iedereen met de handen in het haar zit hoe het gebruik van Amerikaanse diensten (van zeg Mailchimp tot Amazon) nog recht te breien.

De belangrijkste reden voor die streep was het uitgebreide spionageprogramma van de VS dat door Edward Snowden werd onthuld. In mei oordeelde het Europese Hof voor de Rechten van de Mens nog dat de Britse inlichtingendienst GCHQ met haar bulkdatagraaien de Europese grondrechten schendt. Nou is formeel het EVRM een ander verdrag dan de EU, maar deze rechten gelden wel gewoon in Europa én ze komen overeen met EU-grondrechten zoals in het Handvest vastgelegd. Het ligt dus laten we zeggen niet voor de hand dat het Europese Hof van Justitie anders zal oordelen. En een land dat zulke dingen structureel doet, kun je niet adequaat noemen.

Je zou je dan ook de vraag kunnen stellen waarom de EU nog verder gaat met deze procedure, want het voelt een weinig kansrijke papieren constructie. Nou ben ik nog wel eens cynisch over die dingen, dus mijn idee is dat men het doet zodat er een papieren constructie is (zodat de handel door kan) totdat het HvJ er een keer aan toekomt (over een jaar of drie) om dit af te schieten. Met als bijkomend voordeel dat het dan niet jóuw politieke keuze was om dit tegen te houden, maar een uitspraak van een onafhankelijke rechter waar niemand jou op aan hoeft te kijken.

Arnoud

 

Hoe ver ben jij al met je migratieplan weg uit de Amerikaanse cloud?

| AE 12195 | Ondernemingsvrijheid | 51 reacties

Zoek alternatieven voor Amerikaanse leveranciers, zo knalde Emerce erin begin deze week. Het Nederlandse en hele Europese bedrijfsleven schendt immers op grote schaal de AVG omdat ze nog steeds met Amerikaanse dienstverleners werkt. Sinds het Schrems II arrest is dat, hoe zeg je dat netjes als jurist, hartstikke illegaal. En ik snap best dat je nog even wil wachten om te zien wat toezichthouders precies gaan zeggen, maar je hebt natuurlijk wel een migratieplan klaar liggen voor zodra ze “U mag nu stoppen” gaan zeggen. Toch? Want dat gaan ze.

“Er is geen uitzicht op een nieuw Privacy Shield. Alle partijen die op Amerikaanse servers data opslaan schenden Europese privacyregels.” Zo citeert men JetStream-directeur Stef van der Ziel, die precies de vinger op de zere plek legt. Het probleem met de Amerikaanse cloud is al zo oud als de cloud; Amerikaanse wetgeving over snuffelen in persoonsgegevens botst op fundamentele manier met de Europese grondrechten. We hadden ooit de pretentie dat het Safe Harbor-arrest dat op zou lossen: Amerikaanse bedrijven beloven dat ze zich aan de Europese regels houden – behalve als ze wat anders moeten van Amerikaanse wetgeving.

En dat moesten ze, zo onthulde Edward Snowden enkele jaren terug. Safe Harbor sneuvelde dan ook, en het Privacy Shield werd ingevoerd met extra waarborgen en een ombudsman om het nu écht te regelen. Maar het uiteindelijke probleem blijft: Amerikaanse diensten mogen bij persoonsgegevens die in de VS zijn opgeslagen, ongeacht de Europese regels daarover. Dat weten we uit het Schrems II-arrest, waarin het Hof van Justitie net als in Schrems I (het Safe Harbor agreement) bepaalde dat het gewoon echt niet kan, zoals het werkt. (En nee, ook niet als je met SCC oftewel modelclausules gaat werken.)

De impact van de Amerikaanse cloud is echter te groot, zodat niemand echt de eerste stap durft te nemen. Want je zet jezelf op achterstand, als je concurrent wél met Google Analytics blijft werken en jij Matomo of Piwik moet gaan opzetten en vervolgens overal compatibiliteitsproblemen tegen gaat komen. Dus overstappen per direct is inderdaad nogal veel gevraagd.

Ik zie echter geen reden om dan maar te blijven zitten en niets te doen. Inventariseer op zijn minst welke alternatieven er zijn en wat je nodig hebt om die werkend te krijgen. Doe eens een pilot met Matomo, zoek een Europees nieuwsbriefbedrijf en kijk of je écht die twintig trackers op je website nodig hebt. Dan heb je dat maar gedaan, weet je wat de impact gaat zijn en kun je dán besluiten wanneer je gaat migreren. Misschien wel sneller dan je denkt, want “wij werken volledig Europees” begint langzaam maar zeker een marketingvoordeel te worden.

Arnoud

Gastpost: Mag KPN weer ‘Eindeloos Spotify’ aanbieden?

| AE 8819 | Ondernemingsvrijheid | 2 reacties

Deze week ben ik met vakantie. Vandaar zoals elk jaar een serie gastposts. Vandaag Michel Arts over Eindeloos Spotify op een netneutraal internet. Ongeveer een jaar geleden was in het nieuws dat KPN moest stoppen met het aanbieden van ‘Eindeloos Spotify’. Wat was er ook al weer aan de hand? KPN bood een Spotify-abonnement aan… Lees verder

De cloud is (even) gered, Microsoft hoeft geen Europese klantgegevens af te geven

| AE 8793 | Privacy, Regulering | 12 reacties

Microsoft hoeft e-mails die opgeslagen zijn bij zijn datacenters in Ierland niet over te dragen aan de Amerikaanse rechter. Dat las ik bij Tweakers. In het langverwachte hoger beroep bepaalde het gerechtshof dat de Amerikaanse Justitie geen grond heeft om een Amerikaans moederbedrijf te dwingen data op te halen bij haar niet-Amerikaanse dochters. Daarmee is… Lees verder

Europese illegale downloaders blijven ongestraft (gastpost)

Auteursrechtenorganisaties zitten er maar mee in de maag: het internet. Het publiek kan dankzij dit medium heel gemakkelijk auteursrechtelijk beschermde werken met elkaar uitwisselen. Burgers zien geen enkel moreel bezwaar en dus wordt er op grote schaal gedownload. Dit bemoeilijkt de handhaving omdat voor iedere overtreding apart naar de rechter gegaan moet worden. Frankrijk dacht… Lees verder

Europese ministers wijzen anti-’three strikes’ amendement af

| AE 1353 | Ondernemingsvrijheid | 10 reacties

De Europese telecomministers hebben het amendement van het Europese Parlement tegen de voorgestelde ‘three strikes, you’re out’-regels afgewezen, meldde Tweakers gisteren. Over een verder nogal saai pakket regels voor de telecomsector woedt al een tijdje een verhitte discussie. Europa zou hiermee stiekem een “three strikes”-beleid willen invoeren, waarbij internetproviders hun klanten moeten afsluiten na drie… Lees verder

Europese Commissie in de ban van de beursval (gastpost)

| AE 1285 | Informatiemaatschappij | 8 reacties

De Europese Commissie is acht oktober j.l. met een nieuw voorstel gekomen dat consumenten meer vertrouwen zou moeten geven om in andere lidstaten aankopen te doen. Het voorstel geld voor zowel fysieke winkels als internetwinkels. De belangrijkste punten op een rijtje: De winkelier moet volgens het voorstel een zekere hoeveelheid aan informatie over de koop… Lees verder

Afgifte persoonsgegevens door providers toegestaan, maar niet zomaar

| AE 822 | Intellectuele rechten, Privacy | Er zijn nog geen reacties

Europese landen mogen geen ongenuanceerde regels hanteren dat internetproviders persoonsgegevens van klanten altijd moeten afgeven bij rechtszaken, zo oordeelde het Europese Hof van Justitie gisteren. Een instantie als BREIN, of iemand die zich beledigd voelt, heeft dus niet per definitie recht op persoonsgegevens van een klant. Zij zal moeten aantonen dat afgifte gezien de specifieke… Lees verder