In Europa is gegevensbescherming een fundamenteel recht, terwijl dit in de VS niet meer is dan een consumentenrecht. Dit komt doordat er in Amerika meer waarde gehecht wordt aan de vrijheid van meningsuiting en economische belangen. Zo is er in de VS geen onafhankelijke privacytoezichthouder zoals de Autoriteit Persoonsgegevens in Nederland. 

Ook is het opvallend dat de zogeheten ‘proportionaliteitstoets’ niet duidelijk is opgenomen in de Amerikaanse privacywetgeving. Deze toets, waarbij wordt beoordeeld of de privacy niet onnodig zwaar wordt geschonden, is juist heel bepalend in Europa. Zo werd in 2014 de Europese bewaarplicht voor telecom- en internetgegevens ongeldig verklaard, omdat de massale opslag van gegevens buitenproportioneel was. 

Om de privacy van burgers te beschermen, maakt de Europese privacywetgeving het lastig voor internetbedrijven uit de VS om zaken te doen in Europa. Persoonsgegevens mogen alleen worden doorgevoerd naar de VS als er ze daar goed worden beschermd. 

Doorvoer van persoonsgegevens

Aangezien de VS het beschermingsniveau van een derdewereldland heeft, is doorgifte zonder enige controle van Europese privacytoezichthouders niet toegestaan. Dit is voor veel organisaties een groot probleem: de EU en de VS zijn elkaars belangrijkste handelspartners en gegevensoverdracht is essentieel als het om handel gaat. De privacywet laat daarom verschillende opties open voor bedrijven om alsnog gegevens uit de EU te verschepen.

De privacywet laat verschillende opties open

Deze doorvoer van persoonsgegevens is alleen toegestaan als een bedrijf kan garanderen dat gegevens voldoende worden beschermd. Er moet worden bewezen dat er sprake is van een ‘adequaat beschermingsniveau’ voor gegevens. Zo kunnen bedrijven onder andere gebruikmaken van het Privacy Shield (de vervanger van Safe Harbor), Binding Corporate Rules en modelcontracten als grondslag voor gegevensoverdracht.

Kritiek op Safe Harbor

Recent is Safe Harbor onder vuur komen te liggen. Safe Harbor is ontstaan uit de onderhandelingen tussen de EU en VS en is een besluit dat de Europese Commissie in 2000 heeft uitgebracht. Het moest een brug slaan op het gebied van informatie-uitwisseling met als doel het stimuleren van de trans-Atlantische handel. 

Wanneer er wordt voldaan aan de Safe Harbor-voorwaarden mogen bedrijven gegevens doorvoeren naar de VS. In dat geval wordt er namelijk van uitgegaan dat gegevens op een goede manier worden beschermd. Maar uit de praktijk is gebleken dat er weinig controle was op de bescherming van gegevens die via Safe Harbor werden doorgevoerd. Het Hof van Justitie van de EU greep recent in tijdens de rechtszaak die Max Schrems had aangespannen. Safe Harbor werd tijdens deze rechtszaak door het Hof getorpedeerd omdat het dankzij Edward Snowden duidelijk was geworden dat de privacy van Europese burgers onvoldoende werd beschermd. 

Schrems versus Facebook

De rechtszaak die privacyactivist Max Schrems tegen Facebook heeft aangespannen zorgt voor veel opschudding in privacyland. Volgens Schrems heeft Facebook Ierland niet het recht persoonsgegevens zomaar door te geven aan hun moedermaatschappij in de VS. Persoonsgegevens zijn daar niet veilig voor de inlichtingen- en veiligheidsdiensten. 

Het wegvallen van Safe Harbor veroorzaakte veel paniek bij bedrijven

Volgens Schrems schieten de EU en de Amerikaanse wet- en regelgeving in de praktijk tekort als het om de bescherming van persoonsgegevens gaat. Daarom maakt hij ook bezwaar tegen het feit dat zelfs privacytoezichthouders werden gebonden aan het Safe Harbor-akkoord. Hierdoor was er namelijk geen ruimte voor de toezichthouders om Safe Harbor zelf te toetsen. Het Hof van Justitie stelde Schrems in het gelijk op dit punt: Safe Harbor werd dan ook ongeldig verklaard. 

In haar baanbrekende uitspraak stelde het Hof dat Safe Harbor de Europese burger niet goed genoeg kon beschermen tegen de aantasting van het grondrecht op eerbiediging van het privéleven. Het is opvallend dat de VS op dit moment graag wil aanhaken als onpartijdige adviseur bij de zaak Schrems om haar surveillancesysteem te kunnen verdedigen.

Lees ook: Wat betekent de Safe Harbor-uitspraak in de praktijk?

Dankzij het wegvallen van Safe Harbor viel voor veel bedrijven de wettelijke grondslag om gegevens naar de VS te mogen versturen ook weg. Dit veroorzaakte veel paniek bij bedrijven. De Europese Commissie wilde zo snel mogelijk de rust laten terugkeren in het bedrijfsleven. De onderhandelingen die al aan de gang waren voor een nieuw verdrag raakten in een stroomversnelling. De VS hadden opeens geen voorkeursbehandeling meer, maar moest net als andere landen gebruikmaken van alternatieve manieren om gegevensoverdracht met de EU te realiseren.

Na het wegvallen van Safe Harbor was er dan ook snel nood aan een alternatief. Dat zou Privacy Shield worden, maar daarnaast zijn er nog meer zaken om rekening mee te houden. Binnenkort weiden we daar verder over uit.