Management

Juridische zaken
Stress

IT-juristen: ‘Afgekeurd Privacy Shield zorgt voor totaal onwerkbare situatie’

Enorme druk op Europese toezichthouders.

© CC BY-SA 2.0 - Flickr.com Sari Montag
16 juli 2020

Enorme druk op Europese toezichthouders.

Nu het Europees Hof het Privacy Shield nietig verklaard heeft, is er een compleet onwerkbare situatie ontstaan. Dat stellen deskundigen tegenover AG Connect. “Nederlandse bedrijven die gegevens opslaan bij Amerikaanse partijen zullen flink aan de bak moeten.”

De chaos is compleet nu het Europees Hof heeft gesteld dat Europese Persoonsgegevens in de Verenigde Staten niet goed genoeg beschermd worden. Ook rust er door de uitspraak een enorme druk op Europese toezichthouders. Dat stelt adviseur Sjoera Nas van Privacy Company. Ze werkte zelf zo'n twaalf jaar bij de Autoriteit Persoonsgegevens.

Rigoureuze uitkomst

“Het Hof heeft het Privacy Shield zonder een oplossing vernietigd. Het is dezelfde rigoureuze uitkomst als de vorige keer, toen de gelijksoortige regeling Safe Harbour vernietigd werd en iedereen met lege handen achterbleef", vertelt Nas. Die wel benadrukt dat het Europees Hof niets te verwijten valt.

Volgens Nas werkten Europese toezichthouders toen de voorloper van het Privacy Shield werd afgekeurd nauw samen om een oplossing te vinden. Er werd negen maanden niet gehandhaafd, om de Europese Commissie toch de kans te geven om een nieuw contract te onderhandelen. “Het zou goed kunnen dat ze daar nu weer op uitkomen. Maar intussen is er voor bedrijven geen enkel alternatief.”

Nas doelt daarmee op de Europese bedrijven die afspraken hebben gemaakt over gegevens die naar Amerikaanse cloudproviders worden doorgestuurd. “De daarbij horende lopende contracten, ‘standard contractual clauses’, blijven gewoon geldig. Maar degenen die gebruik maken van deze contracten moeten ze na deze uitspraak nu zelf beoordelen. En dus bekijken of de ontvangende partij zich wel aan de regels kunnen houden.”

Toezichthouders moeten ingrijpen

Volgens Nas zijn Europese toezichthouders zoals de Autoriteit Persoonsgegevens verplicht om in te grijpen wanneer dit niet lukt. “Gegevensdeling moet worden stilgelegd wanneer niet het gewenste beschermingsniveau wordt behaald. En dat is nu precies wat er gesteld wordt door het Hof. Het komt erop neer dat iedereen acuut moet stoppen met de doorgifte van persoonsgegevens naar de Verenigde Staten.”

Nas vindt die ingreep totaal onrealistisch. “Dan zou niemand in Europa meer gebruik mogen maken van zijn mobiele telefoon. Bijna iedereen heeft immers een iPhone of een Android. Al die gegevens gaan rechtstreeks naar de Verenigde Staten. En dat geldt ook voor Facebook. Daar zou je dan per vandaag mee moeten stoppen.” Volgens NAS is de druk op de toezichthouders door de uitspraak nu ‘maximaal’. “Zij moeten nu in actie komen en een gezamenlijk standpunt innemen. Dat wordt een spannende vergadering! Hoe ze het gaan oplossen is mij een raadsel. Het is te hopen dat Europese toezichthouders dit goed hebben voorbereid.”

Alternatieve oplossing

Nas wijst nog op een instrument buiten de AVG om, dat mogelijk als een oplossing zou kunnen dienen. “Binding corporate rules, een soort uitgebreide gedragscode voor multinationals, die toezichthouders kunnen goedkeuren. Bedrijven als Philips en Unilever maken daar gebruik van, zodat zij gegevens mogen verplaatsen naar Canada en India. Deze verklaringen blijven wél geldig. Ze leiden tot een heel andere omgang met persoonsgegevens. Maar de wachttijden voor het laten keuren van dit soort regels zijn ongeveer 5 jaar, zo vernam ik in jaarverslagen.  

Hoofd in het zand

Ook universitair docent IT-recht Mathieu Paapst van de Rijksuniversiteit Groningen verwacht een chaotische situatie. “Het Privacy Shield is ooit bedacht als een noodverband voor het eerder al ongeldig verklaarde Safe Harbour. Veel privacy-experts hebben destijds, en overigens ook de afgelopen jaren, al gewaarschuwd dat het in het Privacy Shield ontbrak aan voldoende waarborgen. Het is een beetje hoofd in het zand steken.”

Paapst hoopt dat Nederlandse overheidsorganisaties in contracten met IT-leveranciers hebben laten opnemen dat persoonsgegevens altijd binnen de Europese Economische Ruimte (EER) blijven. “Anders ben je wel heel erg naïef geweest”, voegt hij toe. Hij verwacht bovendien dat er veel werk verzet moet worden door bedrijven. “Nederlandse bedrijven die persoonsgegevens opslaan bij partijen in de VS zullen sowieso aan de bak moeten. Zij zullen nieuwe contracten moeten gaan sluiten met die Amerikaanse partijen waarin veel sterkere waarborgen voor de privacy zijn opgenomen."

Lees meer over
Lees meer over Management OP AG Intelligence
1
Reacties
Martin Stevense 17 juli 2020 14:36

Dit is exact de reden dat wij een Europese cloudleverancier gebruiken voor gevoelige data. Al bijna 10 jaar. Goeie visie? Ach, dat valt wel mee. Gewoon weinig vertrouwen in de Amerikaanse politiek.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.