Het Europese Hof van Justitie heeft vandaag het Safe Harbor-verdrag met de Verenigde Staten, waarin staat hoe Amerikaanse bedrijven gegevens moeten opslaan zodat ze aan de Europese privacywetgeving voldoen, ongeldig verklaard. Dat meldde Security.nl en nog een hele sloot media. Een lichte ramp natuurlijk: zonder Safe Harbor staan heel veel persoonsgegevens illegaal in de Amerikaanse cloud. Wat nu?
De uitspraak is een uitkomst van het al lang lopende conflict dat Oostenrijker Max Schrems heeft met Facebook. Het begon met een inzageverzoek: wat weten jullie allemaal over mij. Dat escaleerde tot een stevige juridische strijd, waarbij op zeker moment het argument ter tafel kwam dat persoonsgegevens veilig in de VS staan want Safe Harbor. Dat we ondertussen van alles weten over de NSA en ander amerikaanseoverheidsgesnuffel deed daarbij niet ter zake.
Het arrest (zaaknr C-362/14) gaat vooral over dat punt. Mag de Europese Commissie afspraken met de VS maken waarin ze in feite zeggen “de VS is gewoon veilig, punt”, of mag het Hof daar toch nog wat van vinden als bij nader inzien blijkt dat het in de VS toch niet zo lekker loopt als gedacht? Het verrast niet echt dat het Hof het laatste vindt.
En wát ze er dan van vinden, is niet mals. De VS ziet Safe Harbor als een leuk speeltje maar uiteindelijk niet zo belangrijk als de eigen wetten:
86 Thus, Decision 2000/520 lays down that ‘national security, public interest, or law enforcement requirements’ have primacy over the safe harbour principles, primacy pursuant to which self-certified United States organisations receiving personal data from the European Union are bound to disregard those principles without limitation where they conflict with those requirements and therefore prove incompatible with them.
Oftewel: er staat gewoon ín dat als Amerikaanse wetgeving wat anders zegt dan mag in de Safe Harbor, dan wint die wetgeving het gewoon. Hoe kun je dat dan nog een veilige haven noemen die volgens Europese regels werkt? Want dát was het idee achter de wettelijke eis “geen gegevens de EU uit tenzij dat adequaat geborgd is”.
We hebben nu dus een probleem. Heel veel organisaties hebben data in de VS staan met een beroep op Safe Harbor, en dat is nu dus niet meer mogelijk. Er zijn juridische oplossingen te verzinnen – zoals gaan werken met een modelcontract – maar het is nog maar de vraag of die standhouden tegen het argument “de FBI kan er tóch altijd toegang tot afdwingen”, analoog aan het citaat hierboven.
Naar de Europese clouddiensten dan maar? Immers, data opgeslagen bij Amazon in Ierland of Microsoft in Brussel valt onder een dochtermaatschappij die gewoon onder Europees recht valt. Het is nog maar de vraag of dat gaat helpen. We hebben al een tijdje een slepende rechtszaak tussen Microsoft en de Amerikaanse overheid, met de vraag centraal of de overheid gegevens mag opeisen bij Microsoft-dochters in Europa. De rechter in eerste instantie zei van wel, het hoger beroep loopt. Als dát overeind blijft, zijn ook die datacenters verboden terrein voor Europese bedrijven.
Gaat er wat gebeuren? Het zou me verbazen. De impact is namelijk zo groot dat weinigen er aan zullen willen. Eerst maar eens een jurist zorgvuldig naar laten kijken, en dan afwachten wat de concurrent gaat doen. Want het kost gewoon gigantisch veel geld om equivalente diensten te vinden – als die er al zijn. Als je concurrent lekker op Amazon blijft zitten, dan ben je weliswaar legaal bezig maar commercieel heel dom.
Wellicht dat de nieuwe wetgeving persoonsgegevens per 1 januari hier wat in gaat veranderen. Die heet weliswaar meldplicht datalekken maar hij zet ook boetes op het exporteren van persoonsgegevens zonder juridische basis. Maar u kent mij als professioneel cynicus: het zou me verbazen.
Arnoud