Het Hof van Justitie van de Europese Unie heeft op 6 oktober de Safe Harbour beschikking van de Europese Commissie ongeldig verklaard. Aanleiding voor deze uitspraak is de zaak die de Oostenrijkse Maximillian Schrems had aangespannen tegen Facebook. Volgens Schrems hebben de onthullingen van Edward Snowden aangetoond dat de VS geen passend beschermingsniveau bieden voor persoonsgegevens tegen Amerikaanse inlichtingendiensten.
De Europese privacywetgeving stelt dat het verboden is om persoonsgegevens terecht te laten komen (voor opslag en/of bewerking) in een land buiten de EU als dat land niet voldoet aan de Europese maatstaven voor privacybescherming.
Omdat Europese bedrijven en burgers massaal zaken doen met Amerikaanse bedrijven is in 2000 het Safe Harbour verdrag gesloten. Amerikaanse bedrijven die de Safe Harbor richtlijnen respecteren, krijgen een uitzonderingspositie. Dat betekent dat Amerikaanse bedrijven – van Apple tot Facebook en van Google tot Amazon – alleen Europese persoonsgegevens mogen verwerken in Amerikaanse datacenters als ze voldoen aan die regels.
Tegenover de Safe Harbor Act staat de in 2001 opgetuigde Patriot Act (een reactie van de Bush-regering op 9/11). Een belangrijke bepaling in de Patriot Act is dat Amerikaanse bedrijven die actief zijn in andere landen, toegang moeten geven tot hun gegevens – zonder gerechtelijk bevel. De Patriot Act en de Safe Harbor Act stonden uiteraard met elkaar op gespannen voet.
Circa 5.500 bedrijven slaan persoonsgegevens op in de VS. Wat de gevolgen zijn van het niet langer geldig zijn van de Safe Harbor Act, is onduidelijk. Het is mogelijk dat nationale privacy-toezichthouders nieuwe eisen gaan stellen aan Amerikaanse bedrijven die gegevens van Europese burgers verwerken, zoals het onderbrengen van data in Europese datacenters. Ze kunnen daartoe worden opgeroepen door Europese burgers en regeringen.
Veel bedrijven hebben de afgelopen jaren gekozen voor het geheel of gedeeltelijk afstoten van hun serverpark waarop data en/of applicaties draaien. Soms is daarbij de overstap gemaakt naar nieuwe, cloudgebaseerde applicaties van Amerikaanse aanbieders die voldoen aan de Safe Harbor Act. Het vervallen van die privacyregelingen zou voor deze bedrijven verstrekkende gevolgen kunnen hebben. Amerikaans cloudproviders zouden hun datacentercapaciteit in Europa moeten uitbreiden en datasets zouden moeten worden verplaatst naar Europa. Denk daarbij niet alleen aan Google of Apple, maar ook aan Salesforce (een partij die onder meer cloudgebaseerde CRM-platforms levert), of aan Amazon (dat ook in Europa zijn vleugels wil uitslaan). Een alternatief voor de bedrijven die massaal kiezen voor cloudgebaseerde IT-oplossingen, is het terug naar binnenhalen van hun data: opslaan binnen de muren van je eigen bedrijf. Dat betekent: opnieuw investeren in eigen datacenters.
Beide oplossingen gaan veel geld kosten. Het is de vraag of daarmee winst wordt geboekt op het vlak van privacybescherming. Bij het zaken doen met Amerikaanse bedrijven beslist uiteindelijk de Amerikaanse overheid hoe er met onze gegevens wordt omgegaan.
Dit jaar liep de geldigheid van de Patriot Act af. Er is een nieuwe wet aangenomen die – onder andere naar aanleiding van de onthullingen van Edward Snowden – paal en perk moet stellen aan de afluisterpraktijken van Amerikaanse geheime diensten. Met die nieuwe Freedom Act wordt met name het massaal aftappen van datacommunicatie (ook al het internetverkeer van Europeanen) onmogelijk gemaakt, maar Amerikaanse privacy-experts zijn cynisch. De Freedom Act bevat aanvullende bepalingen en uitzonderingen, die de Amerikaanse inlichtingendiensten allerlei mogelijkheden bieden. De VS mogen weliswaar niet meer ongericht aftappen, maar er mag wel gericht in data worden gezocht. En in noodgevallen heeft de Amerikaanse overheid nog steeds de beschikking over ‘back doors’ waarmee toegang kan worden opgeëist tot gegevens zonder rechterlijke toetsing.
Die achterdeurtjes zijn cruciaal voor de Amerikaanse inlichtingendiensten. Dat is ook de reden waarom deze diensten een enorme hekel hebben aan de encryptietechnologie van bedrijven als Apple en Google. Sinds de invoering van iOS8, Apple’s besturingssysteem, worden de data van iedere iPhone-gebruiker (dus ook vermeende terroristen) versleuteld opgeslagen. Het gaat dan om foto’s, tekstberichten, contactlijsten en de gesprekshistorie. Als we de techneuten moeten geloven kan ook Apple geen toegang krijgen tot de achterliggende gegevens, zelfs als er een gerechtelijk bevel aan te pas komt.
In de VS is dan ook een sterke lobby aan de gang om volledige encryptie tegen te houden: de inzet is dat techbedrijven een achterdeur moeten kunnen blijven bieden aan veiligheidsdiensten. Een vergelijkbare strijd speelde zich enkele jaren geleden af in India, waar de overheid de fabrikant van Blackberry dwong de encryptiesleutels af te geven. Met zo’n achterdeur is privacy uiteraard geen grondrecht, maar een soort gelegenheidsrecht: per saldo was ook bij Blackberry de opbrengst dat burgers niet meer wisten waar ze aan toe waren.
Het vervallen van de Safe Harbor Act mag wellicht leiden tot allerlei veranderingen, aan de feitelijke situatie rondom privacy verandert weinig. Privacy gaat niet over ‘ik heb niets te verbergen’, maar over de mogelijkheid om zelf te bepalen wie en wanneer welke persoonlijke gegevens mogen worden ingezien; en dat je daarbij kunt vertrouwen op de intenties van degene met wie je je gegevens deelt. Tot nu toe wordt het recht daarover te beslissen primair opgeëist door overheden en de informatieverwerkers zelf. Er zijn twee mogelijkheden voor een tegenwicht: transparanter en kritischer gebruik van clouddiensten – zowel door bedrijven als consumenten – en het gebruik van encryptie. Voor dat laatst is een stevig vertrouwen in de technologiesector nodig. Zijn Amerikaanse techbedrijven bestand tegen de druk van de Amerikaanse overheid? Laten zij de achterdeur op een kier?