Er is een belangrijk akkoord gesloten tussen Europa en de VS over het opslaan van persoonsgegevens. Het nieuwe 'Privacy Shield' moet zorgen dat data nog steeds op Amerikaanse servers mogen worden gezet, maar moet ook zorgen dat onze privacy wel gewaarborgd blijft. Hoe zit dat precies? 4 vragen over 'Privacy Shield'.
1. Wat is er precies besloten?
Het 'akkoord' is gesloten tussen de Europese Unie en de Verenigde Staten, en is dus eerder politiek dan technologisch. Het akkoord krijgt de naam 'EU-VS Privacy Shield' mee, en regelt welke gegevens van Europeanen op Amerikaanse servers worden opgeslagen. Het akkoord is een vervanging van het oude 'Safe Harbor', wat hetzelfde regelde tot het akkoord in oktober ongeldig werd verklaard door het Europese Hof van Justitie.
Privacy Shield regelt de rechten van Europese gebruikers van diensten zoals Facebook, Gmail of andere cloud-opslag, en met name waar die gegevens worden opgeslagen. Gegevens van Nederlandse Facebook-gebruikers worden namelijk opgeslagen op servers in Amerika, wat mocht volgens de Safe Harbor-regels ('Veilige Haven'). Dat betekende echter ook dat inlichtingendiensten zoals de NSA de gegevens van Europeanen mochten bekijken, omdat die nu eenmaal op Amerikaans grondgebied stonden.
'Privacy Shield' zoekt een compromis voor bedrijven en burgers
Het nieuwe akkoord moet het midden vinden tussen wat voor bedrijven haalbaar is, en hoe de privacy van de gebruikers moet worden beschermd.
'Privacy Shield' doet dat door te zeggen dat gebruikersgegevens nog wel opgeslagen mogen worden op Amerikaanse servers, maar dat Amerika er minder gemakkelijk bij kan. Er mag bijvoorbeeld 'geen massasurveillance worden uitgevoerd' over de gegevens, wat betekent dat niet alles bekeken mag worden in de hoop toevallig iets illegaals tegen te komen (de zogeheten sleepnetmethode).
Als een Amerikaans bedrijf zoals Facebook de gegevens van Europeanen willen verwerken, dan moeten ze daarvoor expliciete toestemming voor vragen, en zich houden aan strenge regels die door zowel Amerika als de EU zijn gemaakt.
Gebruikers krijgen meer inzicht in wat er met hun gegevens wordt gedaan
Er komt daarnaast een ombudsman waar Europeanen bij kunnen aankloppen met klachten over gegevensverwerking. Ook wordt het akkoord ieder jaar opnieuw geëvalueerd om te kijken of er aanpassingen nodig zijn.
2. Waarom moest dit akkoord er komen?
'Privacy Shield' werd in het leven geroepen naar aanleiding van de onthullingen van Edward Snowden (in juni 2013), waaruit bleek dat Amerikaanse veiligheidsdiensten op grote schaal gegevens van Europese gebruikers bekeken.
Voor die tijd bestond 'Safe Harbor' al, maar dat werd in oktober vorig jaar ongeldig verklaard. De aanleiding van dat ongeldig verklaren was een jarenlange rechtszaak van de Oostenrijker Max Schrems, die vond dat zijn Facebook-gegevens niet veilig waren op Amerikaanse servers. Schrems eiste dat zijn gegevens beter beschermd werden, en vond dat Safe Harbor daar niet voor zorgde.
Schrems procedeerde door tot aan het Europees Hof van Justitie, dat hem in oktober gelijk gaf. Daardoor werd Safe Harbor ongeldig, maar dat betekende ook dat er een nieuw akkoord moest komen.
3. Wat merk ik daar in de praktijk van?
Je merkt in de praktijk niets van Privacy Shield
Niets. 'Privacy Shield' is een politiek akkoord, dat bovendien zorgt dat bedrijven gewoon hun gang kunnen blijven gaan zoals ze dat nu doen. Als het akkoord er niet was gekomen, had Facebook je gebruikersgegevens waarschijnlijk naar een Europese server moeten zetten, maar zelfs dat hoeft nu niet.
Het wordt in de toekomst wel makkelijker om uit te vinden wat er met je gegevens gebeurt. Bedrijven moeten daarover meer openheid geven en online plaatsen welke gegevens zij verwerken. Ook wordt het makkelijker om te klagen wanneer je het niet eens bent met hoe je gegevens worden gebruikt. Dat kun je door naar een ombudsman te stappen.
4. Is iedereen nu blij?
Niet bepaald. Sowieso is de exacte tekst van het privacyakkoord nog niet helemaal bekend, maar alleen een samenvatting. Maar alleen al daarmee zijn critici niet blij. Max Schrems staat daarin voorop: Hij vindt het akkoord niet sterk genoeg.
Er is al veel kritiek op het 'akkoord'
Ook Europarlementariërs zijn niet onverdeel enthousiast: Volgens Sophie in 't Veld van D66 staan er te veel vage termen in de overeenkomst. Zo wordt niet gespecificeerd wat er precies wordt verstaan onder 'massasurveillance'.
Het gaat bovendien nog niet om een bindende uitspraak, maar om een voorlopig akkoord dat nu eerst moet worden bestudeerd en worden voorgelegd aan het Europees Hof. Dat kijkt of er genoeg juridische grondslag is het akkoord te accepteren.