De uitspraak van het Hof van Justitie in de Schrems zaak legt bloot waar de zwakke plek in de Europese privacybescherming zit: dat in naam het hoge goed van privacy wordt gediend maar dat in de praktijk van alledag veel mogelijk wordt gemaakt dat daarmee in strijd is. In het nog hogere economische belang. Met name de Europese Commissie is het smeermiddel voor het bedrijfsleven en consument gebleken. Daarmee is op zich weinig mis: leven en regeren betekent vieze handen maken. Je kan je hooguit verwonderen over de hypocrisie en de grote hoeveelheid holle teksten die de rotte fundamenten uit het zicht moeten houden.
De door het Hof afgeschoten “Safe Harbor” beschikking is daar een fraai voorbeeld van. In die beschikking verklaarde de Europese Commissie doorgifte van persoonsgegevens aan Amerikaanse bedrijven veilig, voor zover die bedrijven zelf verklaarden te voldoen aan een aantal “Safe Harbor” principes. Mooi gevonden niet waar? Zelf verklaren te voldoen aan principes? Klinkt als Poetin die zegt zelf de wereldvrede na te streven.
Dit dus ten dienste van het bedrijfsleven en het gemak van de Europese burgers. Een begrijpelijke opstelling. Zeker als je bedenk dat, bijvoorbeeld, de Engelse inlichtingendienst geen haar beter is. Zie dit NOS bericht. Als data toch vogelvrij zijn, waarom er dan moeilijk over doen? Laat de principes voor wat ze zijn.
Het Hof heeft er nu voor gezorgd dat deze praktische benadering niet meer werkt. Als de Europese Commissie nu een beschikking afgeeft, zal die getoetst kunnen worden aan de hogere privacy beginselen. De dringende wensen uit de praktijk mogen de privacybescherming niet meer overvleugelen. Het Hof dwingt daarmee Europa te kiezen tussen principes en economie. Het is niet meer mogelijk om als principes tot onwerkbare gevolgen leiden, ze overboord te zetten.
De consequenties zijn vérstrekkend.
Laten we die afpellen. Te beginnen bij de directe gevolgen van het wegvallen van de status van veilig land van de VS (althans van de veilige status van de Safe Harbor bedrijven). Daar is allereerst de reactie van Timmermans. Volgens Timmermans kan het dataverkeer gewoon doorgaan. In mijn eerdere blog toonde ik al aan dat dat niet geldt voor, bijvoorbeeld, het gebruik door Facebook van de data van de gebruikers voor marketing.
Timmermans refereert ook aan een andere regeling. De Privacyrichtlijn bepaalt namelijk dat het onder bepaalde voorwaarden wel degelijk mogelijk is data door te geven naar onveilige landen. De insteek van de betreffende artikelen is deels praktisch. Als je naar Noord-Korea reist, moet het regiem kunnen weten of je wel een voldoende overtuigde aanhanger van de Grote Kim bent. En als je via Hertz in Nederland een auto wilt huren in Nigeria, moet Hertz je data naar Abuja kunnen sturen anders kun je je auto niet ophalen.
Maar er is ook een meer formele mogelijkheid die de Privacyrichtlijn geeft. Die de uitwisseling van data door bedrijven mogelijk maakt. Bedrijven mogen data ook naar een onveilig land doorgeven als de betrokken partijen daarbij door de Europese Commissie opgestelde modelbepalingen in hun contract zetten. Dat is een handige methode. Alleen even in de algemene voorwaarden die modelbepalingen zetten (of checken of die er al niet instaan: dat is namelijk ook vaak al het geval) en we kunnen weer rustig slapen. De praktijk heeft de leer weer overwonnen. Alle ondernemers kunnen dus (godzijdank) gewoon door met Google docs, Amazon hosting, Microsoft 365, Salesforce etc.
Maar wat staat er nu eigenlijk in die modelbepalingen? Bepalingen die nu dus voor bijna ieder bedrijf zouden moeten gelden (overigens niet voor mijn kantoor: wij zitten niet in de (goedkope) cloud: om praktische redenen maar ook om precies deze).
De modelbepalingen zeggen dat de dataexporteur (het Europese bedrijf dat de data laat hosten) en de data-importeur (de Amerikaanse hostingpartij) zich aan de Europese wet moeten houden. So far so good. Niets aan de hand. We verklaren iets, beloven iets en de NSA gaat zijn gang.
Maar er zit een adder onder het gras. De modelcontractbepalingen geven de mensen wier data het betreft het recht van de dataexporteur te eisen dat hij doet wat hij belooft. Dat hij ervoor zorgt dus dat hun data volgens het Europese recht worden gebruikt/opgeslagen. Dat dus de NSA geen toegang heeft. En om te eisen dat als dat niet lukt, het hosten in de VS moet stoppen. Die eisen kunnen die mensen nu simpel neerleggen: zwaaiend met de uitspraak van het Hof van Justitie. “Your honour: exhibit 1”. Om daar een idee van te krijgen is het goed eens op de website van privacy international te kijken hoe je als burger bij de Britse geheime dienst je data op kunt eisen. Zo simpel zal het dus straks kunnen gaan. Zeker als de rechtszaken van de eerste eisers zijn gewonnen.
De door Schrems ingezette zaak is dus mogelijk de eerste van een hele reeks processen waarin consumenten/burgers eisen dat de onderneming waarmee zij zaken doen, hun data niet meer in de VS host. En schade vorderen als zij die door dat hosten in de VS lijden. Copycat procedures. En die volgers/na-apers hebben ook nog eens een goede zaak. Bij winst moeten hun data van de Amerikaanse server af en kan de dataexporteur hun schade betalen. Zo’n mogelijk stuwmeer aan juridische en praktische ellende, kan een belangrijke driver zijn om dit een keer goed te regelen.
Maar hoe dan? De sleutel ligt niet meer in Europa. De Europese Commissie kan immers niet meer onderhandelen. De grens is getrokken door het Hof: een verdrag van de VS moet altijd binnen het Europese recht blijven. En daarbinnen is de NSA met geen mogelijkheid te proppen. Niet voor niets ziet Timmermans de uitspraak als een steun in de rug bij de onderhandelingen met de VS. Er valt namelijk door de Europese Commissie niet meer met privacy te marchanderen. Dat dat nu zonneklaar is, is de grootste impact van de uitspraak van het Hof.
De sleutel ligt dus in de VS. Als de VS zijn internetindustrie geld wil laten verdienen op de grootste markt ter wereld (de Europese) moet de NSA ophouden met surveilleren op een manier die wij in Europa niet toestaan. Dan moet omwille van de verdiensten van de Amerikaanse industrie, de “veiligheid” een tandje lager.
Prachtig: zoals principe 1 (privacy) nu principe 2 (veiligheid) in gijzeling neemt. De Amerikaanse overheid heeft nu de keus: betaal het losgeld door een lagere omzet van de VS internetbedrijven te accepteren of snij de gegijzelde veiligheid zelf iets af. Zelden lag de prijs van veiligheid zo mooi naakt op tafel. En dan hebben we het alleen over de prijs die de Amerikanen betalen. Als wij allen in de EU moeten hosten, is dat vast niet goedkoper. Maar die prijs betalen we graag: dan worden we alleen door de Britten bespioneerd.
Linksom of rechtsom, een heerlijk spektakel zal het worden deze maanden.
Jetse Sprey