Safe-Harbour: back-to-basics of back-to-school?

de pous

Wat krijg je als je recht, politiek en economie samen beschouwt in het perspectief van grensoverschrijdende handel? Gedoe, dat zijn bron heeft in nationaal belang. Zo wijzen sommigen er fijntjes op dat de Europese Commissie voor de tweede maal fors wordt teruggefloten door de rechter. Eerst verklaarde het Hof van Justitie van de Europese Unie de Richtlijn gegevensbewaring uit 2006 met terugwerkende kracht ongeldig wegens schending van grondrechten (Digital Rights Ireland en Seitlinger arrest). Dat was op 8 april 2014. Nu haalt de rechter een streep door het Safe Harbour verdrag tussen de Europese Commissie en de Verenigde Staten uit 2000, hetgeen mogelijk 4.000 plus Amerikaanse bedrijven raakt die zich hierbij hebben aangesloten - multinationals en vooral kleinere ondernemers.

Het gaat nader bepaald om afspraken dat trans-Atlantische doorgifte van persoonsgegevens een rechtmatige basis geeft, ondanks het gemis aan adequate rechtsbescherming in de VS voor Europeanen. Goed beschouwd is Safe Harbour dan ook, in ieder geval mede, een handelsverdrag, bedoeld om het grensoverschrijdende zakendoen tussen de beide regio's makkelijker te maken. Maar op 6 oktober jl. achtte de rechter het door Safe Harbour geboden beschermingsniveau toch van onvoldoende niveau. En dat een nationale privacytoezichthouder altijd individuele zaken in behandeling moet nemen ondanks dat er een verdrag van kracht is. De toezichthouder is de baas en niet de Europese Commissie.

Enerzijds vindt er namelijk in de VS een grootschalige verzameling van persoonsgegevens van Europese burgers plaats, terwijl anderzijds de Europese burgers geen aanspraak op een effectieve dataprotectie kunnen maken. Dank je wel, klokkenluider Snowden, voor de onthullingen die twee jaar na dato nadrukkelijk in de internationale samenleving blijven doorwerken. En hoe.

Eerder luidden de Europese privacytoezichthouders met regelmaat noodklok. De doorgifte van persoonsgegevens naar de VS vraagt om extra waarborgen. Dat vindt de rechter nu dus ook en privacyvoorvechters hebben de vlag uithangen.

Het sentiment aan de overzijde van de oceaan toont anders. Begin dit jaar haalde president Obama, doorgaans terughoudend van aard tenzij het om terrorisme of nationaal vuurwapenbeleid gaat, opmerkelijk uit. Europa kent geen succesvolle internationale ICT-bedrijven van enige omvang en pakt op deze grond de Amerikaanse concurrentie juridisch aan. Handelspolitiek-getinte wetgeving en rechtspraak werpen ten onrechte drempels op voor bedrijven uit de Verenigde Staten die zaken willen doen in de Europese markt, zo luidt de niet-malse kritiek.

Op die stelling dingen we af. Het communautaire mededingingsrecht en haar toezichthouder (de Europese Commissie) zijn weliswaar vaak strikt, maar tevens allerlei Europese bedrijven krijgen de wind van voren. Daarnaast gaat het natuurlijk om het recht op privacy. Europa beschouwt dat als een grondrecht en heeft de bescherming van de persoonlijke levenssfeer dan ook als zodanig gecodificeerd. Hier gelden nu eenmaal onze regels, net zoals de Verenigde Staten eigen wet- en regelgeving heeft (die soms buiten het grondgebied ook jurisdictie kent, zoals de omstreden Patriot Act).

Vervolgens gaat het om de hamvraag wat de consequenties van het arrest van het Hof van Justitie van de Europese Unie voor Nederlands ICT-gebruikers zijn in hun hoedanigheid als klant van een Amerikaanse leverancier en misschien wel in het bijzonder, een cloudleverancier. Veel draait in dit kader om de samenwerkende Europese privacytoezichthouders. Die gaan eerst hun beleid bepalen. Het ligt voor de hand dat vooral kleinere leveranciers - die immers doorgaans geen goedgekeurde EU- privacymodelcontacten met hun klanten in Europa hebben gesloten - extra werk krijgen. Daarop zullen Nederlandse gebruikers - als verantwoordelijke voor persoonsgegevens - nauwgezet moeten toezien. Ondertussen gaan EU en VS naar redelijke waarschijnlijkheid aan een nieuwe Safe Harbour werken. Dat moest in zoverre toch al gebeuren, omdat de verouderde en versnipperde privacywetgeving snel wordt vervangen door Algemene Verordening Gegevensbescherming. Partijen gaan dus terug naar een nieuwe wettelijke basis en de uitgangspunten van de rechter.