Nieuw EU-VS-verdrag voor gegevensoverdracht laat nog op zich wachten

"Head in de cloud, feet on the ground!"

Op 16 juli 2020 verklaarde het Europese Hof van Justitie het Privacy Shield-verdrag uit 2016 ongeldig. De Europese Commissie moet nu met de Verenigde Staten onderhandelen over een nieuw verdrag. Dat zal waarschijnlijk nog maanden op zich laten wachten, zegt European Data Protection Supervisor (EDPS) Wojciech Wiewiorowski in een interview met persbureau Reuters.

Het Privacy Shield-verdrag voor data-uitwisseling tussen de EU en de VS werd aangevochten in een langlopend geschil tussen Facebook en de Oostenrijkse advocaat Max Schrems. Hij voert al jaren campagne over het risico dat Amerikaanse inlichtingendiensten toegang krijgen tot gegevens over Europeanen. Het Europese Hof van Justitie oordeelde dat het Privacy Shield-verdrag niet hetzelfde beschermingsniveau biedt de VS als de GDPR in de EU, terwijl het dat wel vereist is.

De Europese Commissie moet bepalen of met de Verenigde Staten wordt onderhandeld over een nieuw verdrag. Wojciech Wiewiorowski, de European Data Protection Supervisor (EDPS), verwacht niet dat dit in een tijdsbestek van weken, en waarschijnlijk niet eens maanden, geregeld zal zijn. “We moeten er dus op voorbereid zijn dat het systeem zonder een Privacy Shield-achtige oplossing nog wel een tijdje gaat duren.”

Volgens Wiewiorowski is een van de redenen voor de vertraging dat de nieuwe regering van Joe Biden, die in januari aantreedt, andere prioriteiten kan hebben. “De mogelijke veranderingen in de Amerikaanse wetgeving inzake nationale veiligheid zijn allereerst een vraag voor onze Amerikaanse vrienden. Ik weet niet of de regering Biden prioriteit zal geven aan dit onderwerp.”

De Europese Unie oriënteert zich op andere manieren om de data-uitwisseling met de rest van de wereld te beheren. Het Europese Hof stelt namelijk dat autoriteiten voor de bescherming van de privacy het transport van gegevens buiten de EU moeten staken of verbieden als andere landen niet kunnen garanderen dat de gegevens worden beschermd.

Wiewiorowski ziet vooral heil in de aanpak die de Europese Commissie voorstelt: teruggrijpen op de Modelcontractbepalingen. Dit is een alternatief mechanisme om gegevens over de hele wereld over te dragen voor allerlei online diensten en het Hof heeft dit wel in stand gelaten. “De Modelcontractbepalingen bieden al veel van de waarborgen waar de gegevensbeschermingsautoriteiten om vragen.”

Daarnaast uit Wiewiorowski ook bezorgdheid over het langdurige onderzoek van de Ierse gegevensbeschermingsagentschap naar Amerikaanse technologiegiganten zoals Facebook, Twitter, Apple en Alphabet (Google), dat tot nog toe niet tot concrete beslissingen heeft geleid. Toch heeft hij er wel begrip voor dat men de tijd neemt. “Het is natuurlijk een punt van zorg, maar het is geen tragedie. Een van de ergste dingen die kunnen gebeuren, is dat ze zaken verliezen omdat ze niet de juiste procedure hebben gevolgd om de klacht te behandelen. Dat zou een ramp zijn, want het zou de positie van de toezichthoudende autoriteit feitelijk ondermijnen.”