Moeten Facebook en Instagram weg uit Europa?

1 Wat staat er te gebeuren met Meta?

De DPC, de Ierse tegenhanger van onze Gegevensbeschermingsautoriteit, heeft een ontwerpbesluit klaar over de gegevensoverdrachten van Meta tussen Europa en de VS. Dat ontwerpbesluit is niet publiek, maar het is wel voorgelegd voor commentaar aan alle andere gegevensbeschermingsautoriteiten (GBA’s) in Europa. Volgens een aantal mediaverhalen concludeert de DPC dat Meta geen geldige juridische basis heeft voor die transfers. De GBA’s krijgen nu een maand om hun opmerkingen te formuleren bij dat ontwerpbesluit. Een definitieve versie kan nog een paar maanden op zich laten wachten. Maar het is dus mogelijk dat Meta weldra geen gegevens van Europese burgers meer zal mogen overbrengen naar zijn servers in de Verenigde Staten. Het bedrijf laat uitschijnen dat dat de werking van onder meer Facebook en Instagram simpelweg onmogelijk zou maken.

2 Waar komt dat plots vandaan? En wat heeft het met Edward Snowden te maken?

Deze situatie rond Meta is het resultaat van een acht jaar durende juridische kruistocht van de Oostenrijkse privacy-activist Max Schrems. En het houdt rechtstreeks verband met de documenten die NSA-klokkenluider Edward Snowden lekte in 2013. Snowden onthulde dat de Amerikaanse geheime diensten toegang hebben tot zowat alle gegevens van grote Amerikaanse internetbedrijven zoals Facebook (nu Meta), Google en Microsoft. Als dat zo is, kunnen Europese gegevens daar nooit echt veilig zijn, vond Schrems. En dus mogen ze, op basis van de Europese privacywetgeving, daar niet zomaar naartoe worden getransfereerd. In 2015 gaf het Europese Hof van Justitie in Luxemburg Schrems een eerste keer gelijk: het verklaarde het Safe Harbor akkoord tussen Europa en de VS, voor de overdracht van gegevens, ongeldig. Europa en de VS bereikten in 2016 een nieuw akkoord, het Privacy Shield, om gegevensoverdrachten weer toe te laten. Schrems trok opnieuw naar het Hof. Donderslag bij heldere hemel: in juli 2020 kreeg hij opnieuw gelijk, ook Privacy Shield sneuvelde. Sindsdien is het een race tegen de tijd. Europa en de VS proberen tot een nieuw akkoord te komen dat Europese data afdoende beschermt. In maart werd een princiepsakkoord bereikt: het Trans-Atalantic Data Privacy Framework. Als dat er tijdig komt, en als het overeind blijft – dat is twee keer ‘als’ – blijft alles min of meer bij het oude.

3 Waarom is het belangrijk dat gegevens van Europa naar de VS worden getransfereerd?

Bedrijven en personen bewaren hun gegevens steeds vaker in ‘the cloud’; schijnbaar staan de gegevens ‘ergens op het internet’, maar in de praktijk staan ze wel op fysieke servers die zich ergens op de wereld bevinden. Zo gebruiken heel veel Europese bedrijven de diensten van Amerikaanse spelers als Google en Amazon, omdat die vaak het beste of het goedkoopste zijn. Zij bewaren de gegevens op zogenaamde server farms, verspreid over de hele wereld. Dat mag van Europa alleen als de gegevens van Europese burgers ook buiten het grondgebied ‘equivalente’ wettelijke bescherming genieten als in Europa. Nu bedrijven niet meer kunnen steunen op een overkoepelend akkoord zoals Privacy Shield, moeten ze terugvallen op specifieke contracten tussen leverancier en klant – maar daarbij komen veel dure advocaten aan te pas. En ook dat is juridisch niet sluitend, toont het ontwerpbesluit van de DPC nu aan. Meta voerde aan dat het met zijn Europese gebruikers een ‘contract’ heeft, op basis waarvan zij toelating geven voor die transfer van gegevens. Het DPC zou dat niet voldoende vinden.

4 Zal Facebook uit Europa verdwijnen?

In april waarschuwde Meta nog, in een aangifte bij de Amerikaanse beursregulator SEC, dat het mogelijk niet meer in staat zal zijn om Facebook en Instagram in Europa aan te bieden. Die (wettelijk verplichte) aangifte wordt door sommigen als een dreigement van Meta gelezen: “Vind een oplossing, of anders ...” Of het echt zo ver komt? Facebook is nog altijd onvoorstelbaar lucratief, er zal dus wel een mouw aan worden gepast. Sluiten de VS en Europa tijdig (dus in de volgende paar maanden) een Trans-Atlantic Data Privacy Framework, dan kan Meta zich daarop steunen om de transfers verder te zetten. Meta heeft, in een reactie aan de nieuwssite Politico, laten weten dat het ‘verwacht’ dat dit akkoord het bedrijf zal toelaten “families, gemeenschappen en economieën met elkaar verbonden te houden”. Maar ook dat nieuwe Amerikaans-Europese framework zal, volgens Max Schrems, geen houdbare oplossing worden. Volgens Schrems moet de Amerikaanse wet eerst ingrijpend veranderen alvorens Europese gegevens voldoende beschermd zijn tegen inzage door de Amerikaanse overheid, en dat lijkt er voorlopig niet in te zitten.

Een andere mogelijkheid is dat Meta de gegevens van Europeanen uitsluitend in Europa bewaart. Welke veranderingen dat zou vereisen aan de software en de interne werking van Meta, is niet bekend. Maar dat deze mogelijkheid bestond, weet het bedrijf al minstens sinds de eerste klacht van Schrems uit 2014.

5 Welke gevolgen heeft deze beslissing voor andere bedrijven?

De DPC spreekt zich alleen uit over Meta. Maar als Meta zich niet mag baseren op een contract om gegevens naar de VS te transfereren, dan kunnen andere bedrijven dat waarschijnlijk ook niet. En dan zijn de gevolgen haast niet te overzien. “Het zou een enorme impact hebben op bedrijven”, zegt Pierre Dewitte, onderzoeker aan het Centre for IT & IP Law. Al kan het volgens Dewitte positief uitdraaien. Op korte termijn worden Europese bedrijven misschien op kosten gejaagd, zegt hij, maar op langere termijn kan het Europese technologiebedrijven een kans geven om een Europese cloud-industrie uit te bouwen.

De situatie van Meta in Europa is overigens verrassend gelijklopend met die van Tiktok in de VS. Amerika vreest dat Amerikaanse gegevens niet veilig zijn in China, daarom wilde voormalig president Donald Trump Bytedance, het Chinese bedrijf achter Tiktok, dwingen om zijn activiteiten in Amerika volledig te verkopen. Dat ging niet door, maar Bytedance bewaart sinds kort naar eigen zeggen de gegevens van Amerikanen in de VS op servers van het Amerikaanse bedrijf Oracle.