image

Europees hof verklaart Privacyschild-verdrag met VS ongeldig

donderdag 16 juli 2020, 12:21 door Redactie, 10 reacties
Laatst bijgewerkt: 16-07-2020, 15:49

Het Europees Hof van Justitie heeft het privacyschild-verdrag tussen de EU en de Verenigde Staten ongeldig verklaard. Privacyschild regelt het uitwisselen van persoonsgegevens tussen bedrijven in de Europese Unie en de VS. Volgens het Hof zijn persoonsgegevens van EU-burgers die in de Verenigde Staten zijn opgeslagen niet voldoende beschermd.

Het Hof constateert dat "de eisen inzake nationale veiligheid, het algemeen belang en de naleving van de Amerikaanse wetgeving voorrang hebben, waardoor inmenging mogelijk wordt in de grondrechten van de personen van wie persoonsgegevens naar de Verenigde Staten worden doorgegeven." Maatregelen om dergelijke inmenging tegen te gaan, zoals een ombudsman die de klachten van EU-burgers over de verwerking van persoonsgegevens door de Amerikaanse inlichtingen- en veiligheidsdiensten verwerkt, voldoen niet aan de vereiste juridische standaarden van de EU.

Het Hof vindt dat het ombudsmanmechanisme burgers geen mogelijkheid biedt om in beroep te gaan bij een orgaan waarvan de waarborgen overeenkomen met die door het Unierecht worden vereist, dat gegarandeerd onafhankelijk is en besluiten kan nemen die bindend voor Amerikaanse inlichtingendiensten zijn. "Om al deze redenen verklaart het Hof besluit 2016/1250 ongeldig", zo laat het Hof in een persbericht weten (pdf).

De uitspraak volgt in een zaak die jaren geleden door privacyactivist Max Schrems was aangespannen. Schrems maakt gebruik van Facebook en had geëist dat het doorsturen van zijn gegevens naar de Amerikaanse servers van Facebook zou worden verboden. Volgens Schrems biedt de VS geen voldoende bescherming van gegevens die naar het land worden doorgestuurd. Hij diende in 2015 een klacht in bij de Ierse privacytoezichthouder, die de zaak uiteindelijk aan het Europees Hof voor Justitie voorlegde.

"Ik ben zeer tevreden met het vonnis. Het lijkt erop dat het Hof ons op alle punten heeft gevolgd. Dit is een klap voor de Ierse privacytoezichthouder en Facebook. Het is duidelijk dat de VS de surveillancewetgeving echt moet veranderen als Amerikaanse bedrijven een grote rol op de EU-markt willen spelen", laat Schrems in een reactie weten.

Het Hof heeft bepaald dat modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers wel geldig blijven. Die standaardbepalingen bevatten volgens het hof wel de mechanismen om persoonsgegevens volgens de EU-normen te beschermen .

"Dit is een hele mooie opsteker voor al die Europeanen die privacy en bescherming van persoonsgegevens echt belangrijk zijn gaan vinden de laatste jaren. Het is ook een klap voor overheden die dat belang al jaren negeren", zegt D66-Europarlementariër Sophie in't Veld. "Techreuzen mogen niet zomaar persoonsgegevens doorsluizen naar de VS als ze worden gebruikt voor massasurveillance door de geheime diensten. De Europese wet vereist rechtsbescherming voor burgers, stelt de hoogste Europese rechter vandaag."

Volgens In't Veld betekent de uitspraak dat bedrijven geen persoonsgegevens meer legaal kunnen doorgeven van de EU naar de VS, bijvoorbeeld om daar op hun servers op te slaan. "De uitspraak is een drama voor bedrijven, maar is volledig te wijten aan het schoothondjesgedrag van de Europese Commissie bij de Amerikaanse regering", aldus de D66-Europarlementariër, die vindt dat de Europese Commissie nu zo snel mogelijk met de Amerikaanse regering om de tafel moet om tot een nieuw juridisch waterdicht akkoord te komen.

Britse privacytoezichthouder

De Britse privacytoezichthouder ICO stelt in een reactie dat het de uitspraak van het Europese Hof en de impact die dit op internationale gegevensuitwisseling heeft aan het bestuderen is. "We staan klaar om Britse organisaties te ondersteunen en zullen samen met de Britse overheid en internationale agentschappen samenwerken om ervoor te zorgen dat de wereldwijde datastromen door kunnen blijven gaan en dat de persoonlijke data van mensen is beschermd."

Microsoft

Naar aanleiding van het vonnis is ook Microsoft met een reactie gekomen. Het techbedrijf stelt dat de uitspraak geen gevolgen voor commerciële klanten heeft. Klanten kunnen nog steeds via de Microsoft-cloud data tussen de EU en VS uitwisselen. De modelcontractbepalingen blijven namelijk geldig, aldus het techbedrijf. Ook zegt Microsoft dat de uitspraak niets verandert aan de datastromen van de consumentendiensten.

Image

Reacties (10)
16-07-2020, 12:45 door MathFox - Bijgewerkt: 16-07-2020, 12:45
Gaat Europa nog een derde poging wagen? Safe Harbor was op dezelfde gronden afgeschoten.
16-07-2020, 12:53 door Anoniem
Door MathFox: Gaat Europa nog een derde poging wagen? Safe Harbor was op dezelfde gronden afgeschoten.

Het lijkt er inderdaad op dat je hetzelfde onzalige plan blijft permuteren totdat het een keertje blijft plakken. Overigens denk ik niet dat we de illusie moeten hebben dat de VS dit ooit opgeeft. De boodschap is duidelijk: die data moet en zal inzichtelijk zijn. Als ze dat publiekelijk niet voor elkaar krijgen gebeurt het wel onderhands. Er is geen mens die gelooft dat de diensten geen toegang hebben tot de data van Google en Facebook.
16-07-2020, 13:35 door karma4 - Bijgewerkt: 16-07-2020, 13:40
Die wordt leuk https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1594897545294&uri=CELEX:32016R0679
SCC's (standard contractual clauses) vallen onder de GDPR. Als je ze zonder meer buiten werking stelt en daarmee een overtreding van de wet vaststelt heb je een grote mate van rechtsonzekerheid en willekeur.
Te verwachten is a/ een uitspraak van een acceptabele overgangsperiode b/ een zoektocht naar die SCC's welke werkbaar zijn. De DPA's waaronder het AP hadden het als taak en er is kennelijk te weinig aan gedaan.

Het heeft weinig van doen met een NSA of een AIVD die toegang tot gegevens eist. Dit lijkt meer op een machtsstrijd wie de inhoud bepaalt van SSC's. Dat privacy shield is doorgevoerd buiten de DPA's om. Die verwijzing naar de ombudsman als onvoldoende waarborg geeft een goede nuancering.

Het redactieartikel noemt de betrokkenheid van de ierse DPA (tegenhanger AP) als iets waar het fout gegaan is.
Tevens dat modelcontracten (genoemd in de GDPR) niet hun geldigheid verliezen is een belangrijk iets.
16-07-2020, 13:37 door Anoniem
Ach, ze zijn pas 5-7 jaar bezig met procederen en het heeft de Ierse teozichthouder ruim 3 miljoen euro gekost.
Dus waar hebben we het over.

Wat wel leuk is:

Met betrekking tot de verplichtingen die de toezichthoudende autoriteiten bij de doorgifte hebben, oordeelt het Hof dat, tenzij de Commissie op geldige wijze een adequaatheidsbesluit heeft vastgesteld, deze autoriteiten verplicht zijn om een doorgifte van gegevens naar een derde land op te schorten of te verbieden wanneer zij, gelet op alle omstandigheden van die doorgifte, van oordeel zijn dat de standaardbepalingen inzake gegevensbescherming in dat derde land niet worden of niet kunnen worden nageleefd en dat de door het Unierecht vereiste bescherming van de doorgegeven gegevens niet kan worden gewaarborgd met andere middelen, indien de in de Unie gevestigde exporteur de doorgifte niet zelf heeft opgeschort of beëindigd.


Dus, of de Ierse toezichthouder komt (nu) met een goede onderbouwing waarom het na 5-7 jaar nog niet gehandhaafd heeft, of het treed nu op.

Op naar het volgende hoofdstuk in deze soap.
16-07-2020, 14:49 door Anoniem
Door MathFox: Gaat Europa nog een derde poging wagen? Safe Harbor was op dezelfde gronden afgeschoten.

Niet waarschijnlijk. Het afkeuren van Privacy Shield werd verwacht onder professionals. Zelfs op cursussen werd er alvast op gewezen dat het waarschijnlijk afgekeurd zou worden.

Belangrijker is dat de verandering in het politieke landschap die in 2016 al aan de gang was zich heeft voortgezet. Het landschap is veel meer bezig met gegevensbescherming. Iedereen praat er over, concrete maatregelen en veranderingen worden doorgevoerd tot bescherming van de gegevens. Zelfs bijna het halve CDA - toch de partij waarop altijd gerekend kon worden dat de overheid in haar ogen per definitie geen kwaad kon doen - staat achter iemand die nadrukkelijk verklaart dat de macht met een kritische blik gevolgd moet worden ter bescherming van de burgers en de rechtsstaat.

Kort gezegd, het draagvlak voor een of andere niksige halfbakken regeling is er niet meer. De situaties rondom Hong Kong, waarin je in China in moeilijkheden kan komen doordat je als Nederlander in Amsterdam een demonstratie hebt bijgewoond - en daar zie ik de regering Trump ook wel voor aan - zal alleen maar meer mensen wakker schudden dat alles wat je zegt tegen je gebruikt kan worden en dat er dus een belang is om gegevens te beschermen tegen een onzekere toekomst.
16-07-2020, 15:06 door Anoniem
Wat de ICO zegt is dat ze graag willen dat alle amerikaanse bedrijven hun gegevens daar (in de UK) stallen, wat europeesch is, en dat zij dan via glasvezelverbinding van GCHQ rechstreeks in de NSA database pompen.
16-07-2020, 17:59 door [Account Verwijderd] - Bijgewerkt: 16-07-2020, 18:11
Verkijk je niet op de SCC's mensen. Die zijn niet in het algemeen afgeschoten zoals de Privacy Shield beslissing dat wel is, maar het is goed om te lezen wat het hof hier nog meer over te zeggen heeft. Zo beschrijven ze dat het aan de data exporteur is om na te gaan of een SCC wel houdbaar is gelet op de wetgeving aan de kant van de data importeur. Met andere woorden: als je weet dat de VS lak heeft aan de privacy van non-US persons, dan moet je zelf al tot de conclusie komen dat een SCC niet voldoende kan zijn om te voldoen aan de strenge Europeese privacy regels. En dus dat je ook geen SCC's kan gebruiken om alsnog gegevens naar de VS te sturen als de data importeur onder surveillance wetgeving valt! Mocht je zelf die conclusie niet (willen) trekken, dan kan (en moet!) een DPA die conclusie trekken. De DPA zal een organisatie dan verplichten om te stoppen met die data doorgifte en daarnaast loop je het risico op een flinke boete.

Door Anoniem: Wat de ICO zegt is dat ze graag willen dat alle amerikaanse bedrijven hun gegevens daar (in de UK) stallen, wat europeesch is, en dat zij dan via glasvezelverbinding van GCHQ rechstreeks in de NSA database pompen.
De ICO als Briste toezichthouder moet zich juist heeeel veeel zorgen gaan maken om deze uitspraak. Immers is er geen adequaatheid beslissing gemaakt met het VK waardoor SCC's (post-brexit) ook daar de aangewezen manier zijn om te voldoen aan de wetgeving. Iedereen die gebruik wil maken van een data importeur in het VK zal onderzoek moeten doen naar of de surveillance wetgeving daar wel voldoet aan Europese standaarden. Daar zijn nu al grote twijfels over, echter is nationale veiligheid een grote uitzondering voor Europese lidstaten. Je kan op je buik schrijven dat de VK in hetzelfde schuitje komt te zitten als de VS en China.
17-07-2020, 00:02 door Anoniem
Het zal weer de zoveelste regel in rij zijn die zal misbruikt worden.
Bvb je moet de mogelijkheid bieden een foto te verwijderen van je profiel.(duidelijk)
Je kan er voor zorgen dat je de foto zelf niet meer ziet maar anderen kunnen het wel nog zien . Zo'n ader onder het gras
Ik heb al meer dan 3jaar tracht ik foto's van facebook te verwijderen zij hebben nooit enige toestemming gekregen mij af te beelden. Facebook wil dan alleen meer info en dat je hun algemene voorwaarden aanvaard maar dat wil ik niet . Dus hun ai zend mails naar mijn mailserver dat zij meer info willen en mijn ai zend terug dat zij eerst de fotos dient te verwijderen voor er nog een mail naar inbox gaat en dit loopt al enkele jaren (zij hebben dat nog altijd niet door)bij facebook werken alleen maar domme mensen.
20-07-2020, 09:50 door Anoniem
Citaat: “In the light of all of the foregoing considerations, it is to be concluded that the Privacy Shield Decision is invalid.”
https://nl.wikipedia.org/wiki/EU-VS-privacyschild
24-07-2020, 22:52 door wimgrr
Vandaag heeft het Europees Comité voor gegevensbescherming (EDPB) op hun website een FAQ gepubliceerd (https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_en).
Data versturen naar de V.S. met als enige juridische grondslag Privacy Shield is met onmiddellijke ingang illegaal.

Betekent dit nu ook dat bijv. gebruik maken van Mailchimp illegaal is geworden (slaan data op op servers in de V.S. en werken onder Privacy Shield) ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.