79e FD Column: Privacy voor Europese data buiten de EU komt niet van Europese politiek, maar van multinationals

Deze column staat in Het Financieele Dagblad van 23 juli 2020. Volg deze link voor mijn eerdere FD columns.

In de wereld van intercontinentaal dataverkeer heeft de Europese Commissie (EC) al decennia patent op juridische luchtkastelen, dansen op de vulkaan en gezichtsverlies. Het Europees Hof van Justitie (EU-Hof) heeft er schoon genoeg van. Vorige week vernietigde het EU-Hof voor de tweede keer een bilaterale deal (Schrems II) voor datatransport tussen Europa en de Verenigde Staten, het zogenaamde Privacy Shield. Eind 2015 had het EU-Hof de voorloper al verpulverd (Schrems I).

 

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Daarnaast formuleerde het EU-Hof strenge algemene criteria voor alle andere mechanismen, waaronder data-export naar alle andere landen buiten de EU. Bovendien verduidelijkte het Hof dat de datatransporterende organisaties zelf verantwoordelijk – en dus aansprakelijk – zijn wanneer een datatransport niet aan die strenge criteria voldoet.

‘De geopolitieke en economische gevolgen van de uitspraak van het EU-Hof vorige week zijn reusachtig’

Wereldwijd, ook vorige week in het FD, spreken juridische experts de hoop uit dat de EC nu eindelijk burgers en bedrijven te hulp schiet door de Amerikaanse overheid ervan te overtuigen de privacy van Europeanen te respecteren. Die ijdele hoop miskent de decennialange onmacht van de Europese Unie (EU) om ook maar iets betekenisvols af te dwingen in Washington. De Amerikaanse overheid luistert wél naar het Amerikaanse bedrijfsleven. Zonder de door het EU-Hof gevraagde verbeteringen in Amerikaanse wetgeving riskeren zij, en hun Europese zakenpartners, megaboetes en massaschadeclaims vanwege schending van Europese privacywetgeving. Niet de EC, maar het multinationale bedrijfsleven is onze enige kans op respect van de Amerikaanse, Chinese, binnenkort de Britse en welke niet-Europese overheid dan ook voor Europese datagrondrechten.

Keuze

De geopolitieke en economische gevolgen van de Schrems II-uitspraak van het EU-hof van vorige week zijn reusachtig: 5500 Amerikaanse organisaties, waaronder de omvangrijkste bedrijven ter wereld, en in hun kielzog tienduizenden Europese organisaties die van hun dienstverlening afhankelijk zijn, zien met de vernietiging van het Privacy Shield de juridische basis voor intercontinentaal dataverkeer verdwijnen.

Bovendien moet iedere Europese rechtspersoon nu bij zichzelf naspeuren of hij de Europese privacywet AVG overtreedt door zonder adequate datawaarborgen intercontinentaal zaken te doen, IT-diensten af te nemen of te leveren, of anderszins data te transporteren. Zij staan voor de keuze om ofwel al het dataverkeer in Europa te lokaliseren, bijvoorbeeld door alleen IT af te nemen van dienstverleners die data in Europa opslaan en verwerken, ofwel een schending van de Europese privacywetgeving te riskeren.

Nu was een privacyschending voorheen nooit zo’n punt. Sinds de strenge AVG van kracht werd in mei 2018, en vooral sinds de uitspraak van vorige week, kan op zo’n schending een megaboete van een datatoezichthouder volgen, of zelfs een miljardenclaim van activisten of claimvehikels. Anders dan bij de meeste privacyschendingen, maar vergelijkbaar met datalekken, is een schending bij data-export relatief eenvoudig te bewijzen. Het EU-Hof heeft immers alle juridische instrumenten voor datatransport problematisch verklaard. Datatoezichthouders beraden zich de komende maanden hoe nu verder, maar daarna komt de bal toch echt bij de bedrijven zelf te liggen. Schrems II raakt alles en iedereen die internationaal zaken doet.

In november 2015, kort na de eerste uitspraak door het EU-hof (Schrems I), liet ik in een FD-bijdrage aan de hand van drie onderhandelingsscenario’s al zien dat de opvolger van de ‘Safe Harbor’-overeenkomst gedoemd was te mislukken. De enig mogelijke uitkomst was een halfbakken juridisch luchtkasteel en dansen op de vulkaan totdat het EU-Hof de volgende poging bij de eerstvolgende gelegenheid zou afschieten.

Het fundamentele probleem was toen, en is nog steeds, dat Europese data onder Amerikaanse wetgeving vogelvrij zijn voor Amerikaanse spionage. De diepere verklaring daarvoor is macht. De Amerikaanse staat ontleent haar politieke-, economische- en krijgsmacht namelijk voor een belangrijk deel aan die ontspoorde spionage. Tegelijkertijd blijven vrijwel alle Europese inlichtingendiensten structureel verslaafd aan de ‘intel’ die zij van hun Amerikaanse concullega’s mogen inzien. De deep state heeft belang bij de stelselmatige privacyschending. De Snowden onthullingen vanaf 2013 tonen dat allemaal haarfijn aan en vormen dan ook de belangrijkste feitelijke basis onder de ferme taal van het EU-Hof in zowel Schrems I als Schrems II. De Commissie beloofde vorige week toch beterschap. Nieuw gezichtsverlies gegarandeerd. Daarom verbaast het zo dat zeer respectabele juristen desgevraagd blijven hopen op een politieke deal na Schrems II.

Rol bedrijfsleven

Vanwege die politieke onmacht heeft juist het bedrijfsleven niet stilgezeten. Veel IT-bedrijven hebben hun dienstverlening al dichter bij de klant gebracht en klantdata verregaand versleuteld. Deze datalocalisatie en encryptie zal doorzetten, overigens niet alleen om aan de AVG te voldoen, maar ook om minder kwetsbaar te zijn voor vorderingen van gegevens door buitenlandse opsporings- en inlichtingendiensten in het buitenland, direct bij de IT-leverancier en buiten het zicht van de Europese klant.

Intercontinentaal dataverkeer blijft vooral voor multinationals onvermijdelijk. Juist mondiaal opererende bedrijven, niet in de laatste plaats de grote Amerikaanse techfirma’s, hebben groot belang bij een oplossing nu de negatieve gevolgen van schending van het Europese privacyrecht ineens voelbaar worden in de portemonnee. Waar de EC zal blijven dansen op de vulkaan, zullen multinationals bij overhedenbuiten Europa een lans breken voor onze privacy. Zij zullen niet willen wachten totdat zij de rekening krijgen gepresenteerd.