Privacyridder opnieuw ten strijde tegen Facebook: ‘Wetten VS staan het bespioneren van EU-burgers toe’

Het Privacy Shield is een handelsovereenkomst tussen de VS en Europa. Daarin verzekeren de Amerikanen dat de persoonsgegevens van Europeanen even goed beschermd worden als in Europa zelf. Nonsens, vindt de Oostenrijkse privacy-activist Max Schrems. Hij gebruikt een rechtszaak tegen Facebook om aan te tonen dat het internationale akkoord een lege doos is.

“Paul Schrems is de Brad Pitt van de privacy”, zegt privacyprofessor Paul De Hert (VUB). “Hij slaagde er eerder al in om de voorganger van het Privacy Shield, het Safe Harbour-akkoord onderuit te halen.” Hij is ook de man die als eerste in 2011 al zijn gegevens opvroeg bij Facebook en tot zijn verbazing 1.200 pagina’s terugkreeg.

Toen Edward Snowden in 2013 aan het licht bracht dat Amerikaanse veiligheidsdiensten onder andere via de grote technologiespelers persoonsgegevens hadden verzameld van Amerikanen en Europeanen, maakte Schrems de redenering af. Persoonlijke data zoals surfgedrag, zoekopdrachten en aankoopbewijzen van vliegtickets van Europese burgers kunnen in zijn ogen nooit veilig zijn in de VS.

“Fundamenteel is er een botsing tussen de surveillancewetten van de VS en het recht op privacy in Europa”, zegt Schrems aan nieuwssite Politico. In 2015 volgde het Europees Hof van Justitie in Luxemburg zijn redenering. Die uitspraak zorgde maandenlang voor juridische onzekerheid en dwong beide overheden om weer aan tafel te gaan zitten.

Extra kosten

Het stond in de sterren geschreven dat het Privacy Shield aangevochten zou worden. Het akkoord bepaalt dan wel dat burgers terechtkunnen bij een Amerikaanse ombudsman als hun gegevens niet worden beschermd. Dat is niet hetzelfde als Europese gegevensautoriteiten die de privacy van burgers beschermen in het kader van de Europese privacywet (GDPR). Privacy-experts wijzen er ook op dat de Amerikaanse veiligheidsdiensten nog steeds toegang hebben tot Europese persoonsgegevens. 

Deze keer staat er nog meer op het spel dan vier jaar geleden. “Schrems stelt via zijn zaak tegen Facebook niet alleen het internationaal akkoord in vraag, maar ook de ‘standard contractual clauses’”, zegt Magali Feys, privacy-expert van advocatenkantoor AContrario. Dat zijn complexe juridische contracten waarin bedrijven uit de VS, Azië en de rest van de wereld zich verbinden om het Europees recht op privacy te respecteren.

“Die clausules zijn opgesteld door de Europese Commissie”, zegt Feys. “Maar zijn heel moeilijk af te dwingen.” Met andere woorden: wie controleert of uw surfgeschiedenis niet bij de NSA belandt? Facebook gebruikt zulke clausules onder andere voor datatransfers tussen Facebook Ierland en Facebook Inc. Maar ook banken, hotels en luchtvaartbedrijven kunnen niet zonder om hun diensten voor consumenten te verzekeren.

Als de Europese rechters Schrems opnieuw gelijk geven, mogen duizenden niet-Europese bedrijven zich opmaken voor extra kosten om extra beveiliging te voorzien. “Alle bedrijven over de hele wereld die niet voldoen aan het Europese privacyregime zullen herbekeken moeten worden”, zegt Feys. De uitspraak moeten we maar in de loop van volgend jaar verwachten.