Europees Parlement oordeelt negatief over de *nieuwe* basis voor gelegitimeerde datadoorgifte naar de VS

    - / 28 June 2023

    Wat. Een. Gedoe.
    Denk ik vaak als er weer een negatief, al dan positief, bericht komt over het rechtmatig versturen van data naar de Verenigde Staten (VS). Al jaren rommelt het. Kort samengevat vindt de Europese Unie (EU) dat de VS inherent anders omgaat met grondrechten, en niet in een positieve zin. Dat is een probleem, want al jaren kunnen we eigenlijk niet goed uitleggen hoe we die datadoorgifte tussen de EU en de VS legitimeren. Die data ramt in de praktijk in de tussentijd gewoon lekker door. De autoriteiten hebben nog nooit daadwerkelijk de stekker uit een server getrokken om de verbinding verplicht te verbreken, dus het lijkt allemaal nog mee te vallen.

    Desalniettemin is het een probleem dat deze continenten samen willen werken, maar dat niet lijken te kunnen doen terwijl ze op eenzelfde manier grondrechten respecteren. Dus hoewel ik denk wat een gezeik, denk ik ook: ‘maar waar zit het probleem nu weer precies, terwijl ik door de bladzijden scan van een nieuw stuk aan informatie van deze eindeloze saga. In dit artikel leggen we uitgebreid uit wat het Europees Parlement (EP) oordeelde over het nieuwe mechanisme dat al onze zorgen moet wegvagen: het EU-US Data Privacy Framework (DPF).

    Achtergrond (sla deze over als je het Hoofdstuk V AVG verhaal al kent)

    Persoonsgegevens (voor het gemak hierna aan gerefereerd met “data”) doorsturen naar een jurisdictie buiten de EU kan alleen in bepaalde gevallen (uitgeschreven in Hoofdstuk V van de Algemene verordening gegevensbescherming (AVG)). Óf de Europese Commissie (de Commissie) heeft besloten dat dat land een adequaat (data)beschermingsniveau kent gezien de standaarden van de EU (adequaatheidsbesluit, artikel 45 AVG), óf passende waarborgen zijn in plaats (artikel 46 AVG) óf een van de afwijkingen gaat op (artikel 49 AVG). Data doorsturen naar de VS is al een tijdje lastig te onderbouwen, omdat geen van deze drie opties echt waterproof is op dit moment. Dat kwam aan het licht nadat in de geroemde Schrems-rechtszaken de twee adequaatheidsbesluiten (over het Safe Harbor Scheme en het Privacy Shield) onderuit zijn gehaald door ons Europees Hof van Justitie (het Hof). De VS zou namelijk inherent onveilig omgaan met data van Europese burgers. De overheid van de VS kent een te ruime bevoegdheid tot (bulk)interceptie van elektronische communicatie en Europese burgers hebben daar geen kennis van, of enigszins de mogelijkheid om hun recht te halen voor een gerechtelijke instantie. Dat vond het Hof een probleem, dat niet te omzeilen was met de voorgaande regelingen die adequaat bevonden waren (Safe Harbor Scheme en Privacy Shield). Willekeurige toegang door inlichtingendiensten tot elektronische communicatie, waar de overheid wettelijk toe in staat is in de VS, is een inbreuk op de essentie van het fundamentele recht tot vertrouwelijkheid van communicatie (artikel 7 Handvest, briefgeheim). Bovendien was de betrokkene, over wie het ging, niet in staat verhaal te halen bij de rechter (nog een EU grondrecht). Het vernieuwde Privacy Shield veranderde daar helaas weinig aan. In (lagere) rechtspraak zien we inmiddels dat ook het nemen van passende waarborgen, zoals het afsluiten van Standard Contractual Clauses (SCCs), deze risico’s uiteengezet door het Hof niet per se wegnemen.

    EU-US Data Privacy Framework

    De VS heeft nu dus in samenwerking met de Commissie het EU-US Data Privacy Framework (DPF) opgesteld, dat regels neerlegt over de Amerikaanse inlichtingendiensten en wat ze allemaal mogen bekokstoven. Dit moet zorgen dat de VS (wederom) aangemerkt wordt als adequaat. Het Witte Huis publiceerde de 'Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities’ (EO), die het DPF in werking stelt. Het DPF introduceert waarborgen ten aanzien van privacy en civiele vrijheden en creëert een “onafhankelijk” mechanisme voor individuen om verhaal te halen als ze denken dat de VS onrechtmatig hun data heeft onderschept. De uitwerking van alle regels moet nog vormgegeven worden. Hoe dat er precies uit gaat zien is dus nog enigszins onduidelijk. Desalniettemin heeft de Commissie zich over de adequaatheid ervan gebogen.

    De Commissie vindt het DPF adequaat

    De Commissie heeft een concept adequaatheidsbesluit gepubliceerd ten aanzien van het DPF. Daarbij zegt de Commissie eigenlijk dat zij het DPF passende waarborgen vinden bieden om adequaat data en privacy van Europese burgers te beschermen (lees ook dit blog), en ze het voornemen heeft om een finale beslissing te nemen dat het in orde is. De genomen maatregelen zou de surveillancebevoegdheid (om het maar even zo te noemen) van de overheid van de VS in juiste banen leiden, en er zou een mogelijkheid zijn voor betrokkenen om verhaal te halen, bij een door de VS opgesteld “instituut”.

    De tegenovergestelde opinie van het Europees Parlement

    Het EP is binnen de EU een zogenaamde ‘co-wetgever’. Zij zien toe op het werk van de Commissie en andere organen. Toezienend op de Commissie, publiceerde de EP een resolutie over het concept adequaatheidsbesluit. In zo’n resolutie vertelt de EP wat ze vinden van de gang van zaken; niet zo goed. De EP dringt de Commissie aan om dit adequaatheidsbesluit juist niet definitief te maken.

    De EP neemt allerlei overwegingen mee in haar beslissing. Centraal staan een aantal artikelen uit het Handvest van de grondrechten van de Europese Unie (Handvest). Dit gaat om

    • artikel 7 (het recht op vertrouwelijkheid van communicatie en respect voor privé- en gezinsleven, je weet wel, het briefgeheim),
    • artikel 8 (het recht op bescherming van persoonsgegevens),
    • artikel 16 (het recht op vrijheid van ondernemerschap),
    • artikel 47 (het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht) en

    artikel 52. Dat laatste artikel gaat over de reikwijdte van de rechten in het Handvest, over wanneer die grondrechten geschonden mogen worden. Inbreuken daarop moeten “bij wet worden gesteld” en de “wezenlijke inhoud van die rechten en vrijheden eerbiedigen”. Oftewel, als jij een inbreuk maakt op een grondrecht kan dat alleen als dat (1) gebeurt met respect voor de essentie van de grondrechten, en (2) als het een wettelijke verplichting is. Nou dat laatste is duidelijk bij de Amerikanen: die overheid heeft een flinke bevoegdheid om data in bulk te onderscheppen. Of die actie de essentie van de Handvestgrondrechten waarborgt, is de vraag. Bij de overwegingen neemt de EP ook de Snowden-onthullingen in ogenschouw. Relevant, want daarbij zagen we in praktijk hoe ver die surveillance van de Amerikaanse overheid nou eigenlijk ging.

    De overwegende stellingen van het Europees Parlement

    De EP “overweegt” in zo’n resolutie hun bevindingen voor ze tot een conclusie komt. Zie het als je gedachtenkronkels die ten grondslag liggen aan de gewogen keuze voor ofwel een korte broek aan te trekken, ofwel een lange op een frisse zomermiddag. Die relevantste overwegingen som ik hieronder op:

    • De EP benoemt dat massasurveillance, waaronder bulkinterceptie, door staatsorganen schade toebrengt aan het vertrouwen van Europese burgers en bedrijven in digitale diensten, en de digitale economie.
    • De EP benadrukt dat de VS en de EU in essentie een andere kijk hebben op privacy. De VS kent geen federale wet op gegevensbescherming. Dit is in tegenstelling tot alle andere landen die een adequaatheidsbesluit hebben ontvangen van de Commissie, die kennen wel een nationale/federale gegevensbeschermingswet. Bovendien kent de VS een andere definitie dan de EU van kerndefinities zoals noodzakelijkheid en proportionaliteit (noot: in het DPF wordt bijvoorbeeld aangegeven dat noodzakelijkheid niet hoeft te betekenen dat er geen andere manier is om het doel te bereiken. Laat het tegenovergestelde (geen andere manier mogelijk = noodzakelijkheid) nou net de Europese definitie van noodzakelijkheid zijn).
    • De EP benadrukt dat privacy en gegevensbescherming handhaafbare fundamentele rechten zijn. Die moeten zo toegepast worden dat ze niet onnodig handelsrelaties of internationale relaties in de weg zitten. Die rechten kunnen echter niet (uit)gebalanceerd (ingeperkt) worden door commerciële of politieke interesses, dat kan alleen door andere fundamentele rechten.

    Oké, dus wat wil je nou eigenlijk zeggen EP? Was ist los?

    • De EP erkent de moeite die gestoken is in het opstellen van de EO, maar benadrukt dat:
      • de concepten van noodzakelijkheid en proportionaliteit in essentie anders worden gepresenteerd dan hoe wij die toepassen in de EU. Zo verplichten de regels uit de EO dat interceptie van inlichtingen op basis van ‘validated intelligence priority’ moet worden geprioriteerd, wat een brede uitleg is van “proportionaliteit”;
      • het “spijtig” is dat het EO bulkinterceptie niet verbiedt (noot: opmerkelijk want dat kan ook steeds meer in Europa maar goed);
      • er nog het e.e.a. schort aan de Data Protection Review Court (DPRC, de “rechter” die zou kijken naar bezwaren):
        • de beslissingen van DPRC zijn vertrouwelijk, en worden niet publiek gemaakt, naar de buitenwereld of de betrokkene;
        • de DPRC is onderdeel van de uitvoerende tak van de overheid niet de rechtelijke tak (noot: dat kan dus eindigen in invloed door de politiek)
        • de vertegenwoordiger van de privacybelangen is een ‘special advocate’ maar daar zijn geen specifieke (onfhankelijkheids)vereisten voor;
        • het proces om verhaal te halen is omkleed met geheimhouding en het is niet verplicht de betrokkene in te lichten dat hun data is onderschept, wat zowel het recht op toegang als het recht op wijziging ondermijnt;
        • er is geen weg voor de betrokkene om dit naar een federale rechter te trekken om schadevergoeding te vorderen.
      • Hierdoor voldoet de DPRC niet aan de standaarden van onafhankelijkheid en onpartijdigheid van artikel 47 Handvest.
      • De betrokkenen zijn te weinig onderdeel van het nieuwe mechanisme om verhaal te halen in geval van toegang van overheidsinstanties tot gegevens.

    De kern

    Het is tijd is voor juridische zekerheid in het kader van een nieuw doorgifte mechanisme, aldus de EP. Alle onzekerheid van de laatste jaren heeft organisaties veel geld gekost, en dat moet stoppen.

    Uit het EO volgt niet duidelijk, precies en voorzienbaar hoe het toegepast gaat worden. De president kan het bovendien wijzigen wanneer hij/zij maar wil. Precies die duidelijke en strikte mechanismen voor monitoring en review - opdat besluiten toekomstbestendig zijn en dat het mensenrecht op gegevensbescherming wordt gewaarborgd - mist in dit adequaatheidsbesluit.

    In 2021 heeft de EP de Commissie al gevraagd alleen een adequaatheidsbesluit aan te nemen als er betekenisvolle verandering heeft plaatsgevonden, ten opzichte van het SHS en het Privacy Shield. De EP concludeert dat het EU-US DPF dat voorligt geen “actual equivalence in the level of protection” (daadwerkelijk hetzelfde niveau van gegevensbescherming als in de EU) creëert.

    De EP verzoekt de Commissie verder te gaan met onderhandelen met de VS. Zij verzoekt een mechanisme dat die gezochte gelijkheid aan het Europees recht en beschermingsniveau wel biedt. Dat gaat om zowel gegevensbeschermingsrecht als het Unierecht, en het Handvest zoals geïnterpreteerd door het Hof. De EP dringt aan om dit adequaatheidsbesluit niet uit te vaardigen.

    Conclusie en noot van auteur

    Goed, dit is een vrij lange samenvatting en je vraagt je vast af waarom Caroline, nu nog dit verhaal. Omdat ik merk dat er een soort “angst” bestaat nog steeds over data doorgifte en de VS, en angst is regelmatig gestoeld op onzekerheid of onbegrip en wordt dus vaak weggehaald door iets te begrijpen. Het is van belang te weten wat de redenen zijn dat deze saga zo lang duurt, en de risico’s voor jezelf en je eigen organisatie helder te kunnen zien. Zo kan je gewogen beslissingen maken over de data die je gebruikt: wel of niet naar de VS. Bovendien is er veel onduidelijkheid in het nieuws over dit EU-VS geschil. Het komt erop neer dat het Hof vindt (en de EP dus ook) dat de VS principieel anders omgaat met grondrechten dan dat wij doen in de EU.

    Dat vind ik soms opmerkelijk, omdat de Nederlandse (en ongetwijfeld is dat hetzelfde bij andere Europese landen) Wet op de inlichtingen- en veiligheidsdiensten (door Bits of Freedom bestempeld als de “sleepnetwet” omdat de AIVD hiermee heel veel bijvangst heeft in plaats van gericht te onderscheppen) ook veel bediscussieerd onderwerp is in Nederland. Zelfs nu wordt er weer geprobeerd de bevoegdheden uit te breiden. Maar goed, de beste schippers staan aan wal, en die wal is in dit geval aan de oostkant van de Atlantische oceaan.
    Terug naar overzicht

    Caroline van Ekeren

    Legal Counsel
    Lees meer
    Click me

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Juridisch advies
    Professionals inhuren
    Academy
    Legal Tech
    Security / Informatiebeveiliging
    Documenten
    Ons team
    Vacatures

     

     
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram