Het privacyverdrag tussen de Verenigde Staten en de Europese Unie werd afgelopen donderdag ongeldig verklaard door het Europees Hof. Het gaat om de uitspraak in een langlopende zaak die is aangespannen door de 32-jarige Oostenrijkse privacyactivist Max Schrems. Wie is hij en hoe zorgde hij ervoor dat het verdrag van tafel werd geveegd?

Het privacyverdrag Privacy Shield trad in 2016 in werking en moest ervoor zorgen dat de EU en de Verenigde Staten volgens de Europese privacyregels gebruikersdata konden uitwisselen.

Volgens Schrems voldeed het verdrag echter niet aan de Europese wet en dus stapte hij naar de rechter.

Het begon met een klacht tegen Facebook

Maximilian (Max) Schrems was 23 jaar toen hij rechten studeerde aan de Universität Wien. Voor een paper vroeg hij bij Facebook persoonlijke data op en daaruit bleek dat het sociale medium twaalfhonderd pagina's aan informatie had verzameld. Het ging om alles wat hij ooit op het netwerk had verzonden, van likes tot persoonlijke berichten.

Vervolgens diende Schrems een klacht in bij de privacywaakhond in Ierland, waar het Europese hoofdkantoor van Facebook is gevestigd. Hij betoogde dat het bedrijf de Europese privacywet overtrad.

De klacht werd afgewezen, waarop Schrems naar de rechter stapte om ervoor te zorgen dat Facebook en andere bedrijven niet langer data van gebruikers naar de Verenigde Staten mochten doorsturen. De zaak kwam in 2015 voor bij het Hof van Justitie van de Europese Unie. Het resultaat: Safe Harbor, het toenmalige privacyverdrag tussen de EU en de VS, werd ongeldig verklaard.

Het gaat je niets aan

Intussen zat Schrems niet stil en zette hij zich breder in om de privacy van Europeanen te beschermen. In 2017 richtte hij samen met andere activisten de stichting None of Your Business (NOYB) op, wat zich laat vertalen naar: het gaat je niets aan.

Dat deed Schrems nadat hij had ondervonden hoe lastig het was om advocaten te vinden die hem konden bijstaan. Hij moest online geld werven om de rechtszaken te bekostigen en probeerde van alles om de kosten te drukken. De non-profitorganisatie NOYB moet het eenvoudiger maken om een dergelijke zaak te beginnen en ervoor te zorgen dat de AVG wordt gehandhaafd en de privacy van Europese burgers wordt gewaarborgd.

NOYB zorgde ervoor dat de Franse privacywaakhond CNIL Google in 2019 een boete van 50 miljoen euro opgelegde. NOYB had een klacht ingediend, omdat Google het gebruikers moeilijk maakte om in te zien welke data worden verzameld bij het aanmaken van een account.

Privacy Shield niet goed genoeg

Het Safe Habor-verdrag werd in 2016 vervangen door Privacy Shield. Daarmee werden de gegevens van Europese burgers al beter beschermd, maar konden bedrijven zoals Facebook nog steeds veel gebruikersdata naar de VS sturen.

Het Hof oordeelde afgelopen donderdag, op basis van een klacht van Schrems, dat ook Privacy Shield de data die naar de VS worden gestuurd niet voldoende beschermt. Het verdrag werd daarom door het Hof ongeldig verklaard. Een overwinning voor Schrems, maar het is nog onduidelijk wat er gaat gebeuren met de data die bedrijven naar de VS sturen.

Het is nu aan de Europese Commissie en de VS om een verdrag op te stellen dat wel aan de Europese regelgeving voldoet. Schrems reageerde in elk geval verheugd op de nietigverklaring. "Dit is een klap voor de Ierse privacywaakhond en Facebook. Het is duidelijk dat de Verenigde Staten hun surveillancewetten flink moeten omgooien als Amerikaanse bedrijven een grote rol willen blijven spelen in Europa."