Persoonsgegevens van Europeanen worden in de VS onvoldoende beschermd. De nationale privacytoezichthouders van de Europese lidstaten mogen daarom voorkomen dat gegevens, bijvoorbeeld van Europese Facebook-gebruikers, worden doorgestuurd naar servers in de VS.

Dat heeft Yves Bot, de advocaat-generaal van het Europees Hof van Justitie, woensdag geschreven in een advies (pdf) aan de hoogste Europese rechtbank.

Het advies van Bot is niet bindend, maar vaak volgen de rechters van het Hof wel de adviezen van hun advocaat-generaal. Een definitieve uitspraak wordt over enkele maanden verwacht.

Safe Harbor

In het zogenoemde Safe Harbor-verdrag is geregeld dat Amerikaanse bedrijven als Facebook ook Europese gebruikersgegevens in hun eigen land mogen opslaan, mits zij aan enkele voorwaarden voldoen. 

Het feit dat de Europese Commissie vindt dat de VS voldoende waarborgen biedt om persoonsgegevens te beschermen, doet niet af aan de macht van nationale toezichthouders, schrijft Bot. Zij kunnen alsnog voorkomen dat gegevens naar de VS worden gestuurd.

Bovendien is een beschikking van de Commissie, waarin wordt vastgesteld dat de VS inderdaad voldoende waarborgen biedt, volgens Bot ongeldig. Volgens hem is gebleken dat in de VS "op grote schaal" persoonsgegevens worden verzameld door de overheid, zonder dat Europese burgers voldoende rechterlijke bescherming krijgen.

NSA

Het feit dat Amerikaanse inlichtingendiensten als de NSA privégegevens van Europese burgers kunnen inzien, is volgens de advocaat-generaal "een inmenging in het recht op eerbiediging van het privéleven en van het familie- en gezinsleven en het recht op bescherming van persoonsgegevens" zoals die in het Handvest van de Grondrechten van de Europese Unie zijn vastgelegd.

Bovendien vindt Bot het kwalijk dat Europese burgers de inzage van hun gegevens door de Amerikaanse autoriteiten niet kunnen aanvechten. In de VS wordt wel gewerkt aan een wet die daar verandering in zou brengen, maar die is nog niet ingevoerd.

Na de onthullingen van klokkenluider Edward Snowden over de NSA startten de EU en VS onderhandelingen over een nieuwe versie van het Safe Harbor-verdrag. Gezien de schending van grondrechten had het hele verdrag tijdens die onderhandelingen totaal moeten worden opgeschort, schrijft Bot.

Schrems

Het advies is uitgebracht in een zaak tussen de Oostenrijkse student Max Schrems en Facebook. Schrems wil dat de Ierse privacywaakhond onderzoek doet naar gegevensbescherming in de Verenigde Staten, maar vanwege het Safe Harbor-verdrag weigerde de Ierse waakhond een onderzoek te starten.

Volgens Schrems blijkt echter uit de onthullingen van Snowden dat Europese gegevens in de VS niet veilig zijn. Hij wilde dat wordt onderzocht hoe de VS met Europese gegevens omspringt, en of de Ierse waakhond überhaupt nog wel rekening moet houden met het Safe Harbor-verdrag. De Ierse Hoge Raad verwees de zaak door naar het Europees Hof. 

Verheugd

Europarlementariër Sophie in 't Veld van D66 zegt verheugd te zijn met de opinie van Bot: "Het Europees Parlement roept al jaren om de intrekking van Safe Harbor, maar de Commissie durft dan toch niet tegen de Amerikanen in te gaan."

Volgens haar hebben de nationale Europese regeringen en de Europese Commissie maling aan de privacyregels, en moet het Hof steeds ingrijpen na een klacht van een individuele burger. "Elke keer maken ze willens en wetens weer wetten die de toets gewoon niet doorstaan."

Vorig jaar maakte een uitspraak van het Europees Hof een einde aan de bewaarplicht, die internetproviders verplichtte om gegevens over het telefoon- en internetgebruik van klanten op te slaan voor gebruik door opsporingsdiensten. Ook riep het Hof het zogenoemde 'vergeetrecht' in leven, waarmee mensen zoekresultaten kunnen laten verwijderen.

Een woordvoerder van het College Bescherming Persoonsgegevens (CBP), de Nederlandse privacywaakhond, zegt blij te zijn dat Bot "de onafhankelijke rol van de toezichthouder ondersteunt". Volgens de woordvoerder is het nog te vroeg om te zeggen welke stappen het CBP zou nemen als het Safe Harbor-verdrag inderdaad ongeldig blijkt.

Gevolgen

Als het advies van Bot door het Hof wordt overgenomen, kan dat grote gevolgen hebben voor Amerikaanse internetbedrijven. Het CBP zou dan bijvoorbeeld kunnen beslissen dat gegevens van Nederlanders niet meer in de VS mogen worden opgeslagen.

Bedrijven als Facebook en Google zouden er dan voor moeten zorgen dat die gegevens op Europese servers blijven staan. Het zou dan ook onzeker zijn of Amerikaanse autoriteiten in strafzaken nog gegevens van Europese burgers kunnen opvragen.

In de VS loopt momenteel een rechtszaak waarin Microsoft een databevel van de FBI aanvecht. Volgens het bedrijf kunnen de opgevraagde gegevens niet worden overhandigd, omdat deze op een Ierse server staan. De FBI vindt dat de opsporingsdienst ook Ierse gegevens kan opvragen, omdat Microsoft een Amerikaans bedrijf is en dus binnen zijn jurisdictie valt.