Europees hof verklaart Privacyschild-verdrag met VS ongeldig

[Captain Kirk]

Het Europees Hof van Justitie heeft het privacyschild-verdrag tussen de EU en de Verenigde Staten ongeldig verklaard. Privacyschild regelt het uitwisselen van persoonsgegevens tussen bedrijven in de Europese Unie en de VS. Volgens het Hof zijn persoonsgegevens van EU-burgers die in de Verenigde Staten zijn opgeslagen niet voldoende beschermd.

Het Hof constateert dat "de eisen inzake nationale veiligheid, het algemeen belang en de naleving van de Amerikaanse wetgeving voorrang hebben, waardoor inmenging mogelijk wordt in de grondrechten van de personen van wie persoonsgegevens naar de Verenigde Staten worden doorgegeven." Maatregelen om dergelijke inmenging tegen te gaan, zoals een ombudsman die de klachten van EU-burgers over de verwerking van persoonsgegevens door de Amerikaanse inlichtingen- en veiligheidsdiensten verwerkt, voldoen niet aan de vereiste juridische standaarden van de EU.

Het Hof vindt dat het ombudsmanmechanisme burgers geen mogelijkheid biedt om in beroep te gaan bij een orgaan waarvan de waarborgen overeenkomen met die door het Unierecht worden vereist, dat gegarandeerd onafhankelijk is en besluiten kan nemen die bindend voor Amerikaanse inlichtingendiensten zijn. "Om al deze redenen verklaart het Hof besluit 2016/1250 ongeldig", zo laat het Hof in een persbericht weten (pdf).

De uitspraak volgt in een zaak die jaren geleden door privacyactivist Max Schrems was aangespannen. Schrems maakt gebruik van Facebook en had geëist dat het doorsturen van zijn gegevens naar de Amerikaanse servers van Facebook zou worden verboden. Volgens Schrems biedt de VS geen voldoende bescherming van gegevens die naar het land worden doorgestuurd. Hij diende in 2015 een klacht in bij de Ierse privacytoezichthouder, die de zaak uiteindelijk aan het Europees Hof voor Justitie voorlegde.

"Ik ben zeer tevreden met het vonnis. Het lijkt erop dat het Hof ons op alle punten heeft gevolgd. Dit is een klap voor de Ierse privacytoezichthouder en Facebook. Het is duidelijk dat de VS de surveillancewetgeving echt moet veranderen als Amerikaanse bedrijven een grote rol op de EU-markt willen spelen", laat Schrems in een reactie weten.

Het Hof heeft bepaald dat modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers wel geldig blijven. Die standaardbepalingen bevatten volgens het hof wel de mechanismen om persoonsgegevens volgens de EU-normen te beschermen .

"Dit is een hele mooie opsteker voor al die Europeanen die privacy en bescherming van persoonsgegevens echt belangrijk zijn gaan vinden de laatste jaren. Het is ook een klap voor overheden die dat belang al jaren negeren", zegt D66-Europarlementariër Sophie in't Veld. "Techreuzen mogen niet zomaar persoonsgegevens doorsluizen naar de VS als ze worden gebruikt voor massasurveillance door de geheime diensten. De Europese wet vereist rechtsbescherming voor burgers, stelt de hoogste Europese rechter vandaag."

Volgens In't Veld betekent de uitspraak dat bedrijven geen persoonsgegevens meer legaal kunnen doorgeven van de EU naar de VS, bijvoorbeeld om daar op hun servers op te slaan. "De uitspraak is een drama voor bedrijven, maar is volledig te wijten aan het schoothondjesgedrag van de Europese Commissie bij de Amerikaanse regering", aldus de D66-Europarlementariër, die vindt dat de Europese Commissie nu zo snel mogelijk met de Amerikaanse regering om de tafel moet om tot een nieuw juridisch waterdicht akkoord te komen.

Britse privacytoezichthouder

De Britse privacytoezichthouder ICO stelt in een reactie dat het de uitspraak van het Europese Hof en de impact die dit op internationale gegevensuitwisseling heeft aan het bestuderen is. "We staan klaar om Britse organisaties te ondersteunen en zullen samen met de Britse overheid en internationale agentschappen samenwerken om ervoor te zorgen dat de wereldwijde datastromen door kunnen blijven gaan en dat de persoonlijke data van mensen is beschermd."

Microsoft

Naar aanleiding van het vonnis is ook Microsoft met een reactie gekomen. Het techbedrijf stelt dat de uitspraak geen gevolgen voor commerciële klanten heeft. Klanten kunnen nog steeds via de Microsoft-cloud data tussen de EU en VS uitwisselen. De modelcontractbepalingen blijven namelijk geldig, aldus het techbedrijf. Ook zegt Microsoft dat de uitspraak niets verandert aan de datastromen van de consumentendiensten.

 

bron: security.nl