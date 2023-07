Maandag hebben de EU en de VS een nieuw akkoord bereikt waardoor Amerikaanse technologiebedrijven in Europa hun diensten kunnen blijven aanbieden. Voor eventjes dan toch, want de beruchte activist Max Schrems zal de deal aanvechten.

Zijn gegevens van Europese burgers veilig op Amerikaanse servers of niet? Over die vraag wordt al tien jaar een bits juridisch gevecht uitgevochten. Daarin neemt één man, de Oostenrijkse jurist Max Schrems, met zijn actiegroep NOYB, het op tegen de verenigde krachten van de EU, de Amerikaanse regering en big tech.

Volgens Schrems laten de Europese GDPR-privacyregels niet toe dat gegevens van Europese burgers bewaard worden op Amerikaanse servers, omdat de Amerikaanse inlichtingendiensten er dan toegang tot kunnen krijgen. Schrems verwijst daarvoor onder meer naar de onthullingen van NSA-klokkenluider Edward Snowden. Die maakte in 2013 details bekend over het Amerikaanse overheidsprogramma Prism, dat de inlichtingendiensten een achterpoortje geeft tot de servers van grote technologiebedrijven zoals Google en Facebook (nu Meta). In 2015 gaf het Europees Hof van Justitie Schrems gelijk.

Gegevens van burgers konden sinds 2000 legaal worden uitgewisseld tussen de EU en de VS op basis van een overeenkomst die Safe Harbor heette. Het akkoord bevatte een aantal garanties over de manier waarop de Europese gegevens in de VS zouden worden behandeld – zo konden ze niet zonder toestemming worden doorverkocht aan andere Amerikaanse bedrijven. Maar de garanties in Safe Harbor volstonden niet, oordeelde het Europees Hof.

De VS en de EU reageerden door het jaar nadien een nieuwe overeenkomst uit te werken, het Privacy Shield. Schrems vocht het akkoord opnieuw aan, en haalde in 2020 opnieuw gelijk.

1,2 miljard euro boete

Het heeft dit keer drie jaar geduurd, maar de EU en de VS doen nu een derde poging met het Data Privacy Framework of DPC. Europees Commissaris voor Justitie Didier Reynders noemt de bescherming voor Europese data ‘robuust’. Maar Schrems heeft al aangekondigd dat hij ook de nieuwe tekst zal aanvallen.

Wat Schrems betreft, is er aan de kern van de zaak alweer niets veranderd: de Amerikaanse overheid heeft nog altijd toegang tot de gegevens van Europese burgers op een manier die niet in overeenstemming is met de GDPR. Pierre Dewitte, onderzoeker aan het Citip (KU Leuven), ziet het ook zo: ‘Dit is een paar jaar uitstel’, zegt Dewitte.

Nieuw is dat Europese burgers zich nu kunnen verzetten als zij menen dat de Amerikaanse inlichtingendiensten hun data hebben bekeken. Er wordt een speciaal gerechtshof opgericht, samengesteld uit Amerikaanse rechters, dat klachten zal behandelen. Onder de vorige regeling was er alleen een ombudsman voorzien. De kern van het probleem, volgens Schrems, is Sectie 702 van de Amerikaanse Foreign Intelligence Surveillance Act (FISA). Die tekst bepaalt dat de Amerikaanse inlichtingendiensten toegang kunnen krijgen tot gegevens van mensen die geen VS-burger zijn en buiten de VS wonen. Voor Amerikaanse burgers kunnen ze dat niet.

Voor Meta komt de DPC net op tijd. In mei werd Meta in Europa veroordeeld tot een boete van 1,2 miljard euro voor het bewaren van Europese gegevens op zijn Amerikaanse servers. Meta kreeg toen vijf maanden om die transfer stil te leggen. Het bedrijf had eerder laten verstaan dat het, zonder een nieuw akkoord tussen de VS en Europa, gedwongen zou kunnen zijn om zijn activiteiten in Europa stop te zetten. Maar dat probleem lijkt nu, minstens tijdelijk, van de baan.

Lees ook