Wat was Safe Harbor ook alweer?

De Europese privacywetgeving verbiedt de opslag van persoonlijke gegevens in landen waar de privacy niet voldoende wordt gewaarborgd. Er zijn elf landen buiten de EU die volgens de Europese Commissie de privacyregels op orde hebben, waaronder Canada, Zwitserland en Israël.

De Verenigde Staten staan niet op die lijst met 'goedgekeurde' landen, maar daar werd een oplossing voor gevonden: het Safe Harbor-akkoord, dat in 2000 van kracht ging. 

Bedrijven die zich hebben aangesloten bij het Safe Harbor Framework beloven de Europese privacyregels te waarborgen, zodat zij alsnog persoonsgegevens van Europeanen kunnen opslaan op Amerikaanse servers.

De regels in Safe Harbor zijn ontzettend belangrijk voor het dataverkeer tussen Europa en de Verenigde Staten. Dat geldt overigens niet alleen voor grote Amerikaanse techbedrijven zoals Facebook, Google en Apple. 

Voor kleinere bedrijven is het Safe Harbor-akkoord veel belangrijker, omdat zij bijvoorbeeld de gegevens van hun klanten via externe clouddiensten opslaan. Zonder deze duidelijke afspraken wordt het runnen van bijvoorbeeld een webshop ontzettend lastig.

De privacy van Europese burgers werd niet gewaarborgd in de VS.

Eind 2015 zette het Europees Hof van Justitie echter een streep door het vijftien jaar oude Safe Harbor-akkoord. De uitspraak werd gedaan in een zaak tegen Facebook, die was aangespannen door de Oostenrijkse activist en jurist Max Schrems.

Volgens het Hof kon de privacy van Europese burgers niet meer worden gewaarborgd na de onthullingen van klokkenluider Edward Snowden, in 2013. In die onthullingen kwam onder meer naar voren dat de Amerikaanse inlichtingendienst NSA massaal privégegevens van onder meer Europeanen verzamelde.

Het was de eerste keer dat de onthullingen van Edward Snowden directe gevolgen hadden op een zaak in het Europees Hof.

Er is met spoed een nieuw verdrag nodig.

Nu het oude Safe Harbor-verdrag niet meer bestaat, zijn er geen heldere afspraken over het opslaan van Europese gegevens op Amerikaanse servers. Een nieuw akkoord moet dus zo snel mogelijk worden bereikt. 

Achter de schermen werd wel al ruim twee jaar lang onderhandeld over een nieuw Safe Harbor-verdrag. Het is dus niet alsof het hele akkoord in een paar weken opgesteld moest worden. Wel heeft het oordeel van het Hof er voor gezorgd dat het proces in een stroomversnelling is geraakt.

Er ligt sinds 2 februari 2016 wel een nieuw akkoord; het zogenoemde EU-VS Privacyschild. De privacywaakhonden moeten dat wel nog inhoudelijk beoordelen. Het kan nog tot juni duren voordat het nieuwe verdrag helemaal is doorgespit.  

In de tussentijd hebben de privacywaakhonden besloten om geen boetes uit te delen. Dat betekent niet dat het nieuwe akkoord al helemaal rond is; het kan zo zijn dat de databeschermingsautoriteiten alsnog besluiten dat het verdrag niet voldoende is. Dan worden er alsnog boetes uitgedeeld.

Het Privacyschild moet de privacy wèl waarborgen.

Hoewel de tekst van het nieuwe verdrag nog niet openbaar is valt er inhoudelijk nog niet heel veel te zeggen over het Privacyschild. De Europese Commissie noemt het nieuwe verdrag wel 'robuuster en transparanter' dan Safe Harbor. De VS zouden onder meer hebben toegezegd geen massasurveillance meer toe te passen op de Europese data.

Daarnaast komt er een jaarlijkse evaluatie van het verdrag. Mochten de nieuwe afspraken niet voldoende zijn, dan kunnen die na een jaar alsnog worden aangepast. Ook komt er een 'dataombudsman' waar Europeanen terecht kunnen met hun klachten.