Deze column was het weekendessay van Het Financieele Dagblad van 18 september 2020. Volg deze link voor mijn eerdere FD columns.

Na zeven jaar procederen en twee baanbrekende uitspraken van het Europese Hof van Justitie barstte onlangs de Trans-Atlantische databom. In een uitgelekt voorlopig besluit verbiedt de Ierse datatoezichthouder DPC techgigant Facebook om Europese data naar haar thuisbasis in de VS te sturen, omdat het EU-Hof op 16 juli oordeelde dat Amerikaanse wetgeving en inlichtingendiensten het grondrecht op privacy van Europeanen onvoldoende respecteren.

In dezelfde week constateerde de Nederlandse spionnenwaakhond CTIVD in een vernietigend rapport dat de AIVD en MIVD al twee jaar ‘onrechtmatig’ handelen. Zo zouden zij de privacywaarborgen in de Wiv2017, beter bekend als de ‘sleepwet’, doelbewust met ‘kunstgrepen’ omzeilen, om omvangrijke datasets te kunnen delen met andere diensten in andere landen.

Inderdaad, waar Facebook van de DPC twee maanden na de uitspraak van het EU-Hof moet stoppen met intercontinentale data-export binnen hetzelfde bedrijf, constateert de CTIVD dat Nederlandse diensten al ruim twee jaar doelbewust onrechtmatig data delen buiten de organisatie.

Serieus probleem

Nederland propageert wereldwijd een technisch betrouwbaar en juridisch veilige ‘digital mainport’ te zijn, maar heeft nu een serieus imago-, politiek en juridisch probleem. Onze sleepwet zit vol hiaten die het EU Hof in juli ten aanzien van Amerikaanse wetgeving aan flarden schoot.

Ondanks het roemruchte referendum van 2018 over de ‘sleepwet’ heeft de Nederlandse politiek geen enkele verbetering gerealiseerd. En van de controversiële wet worden de waarborgen met voeten getreden. De Eerste Kamer, die zich momenteel buigt over een broodmager reparatiewetje als pleister op de sleepwetwond, kan de geloofwaardigheid, privacy en economische belangen van Nederland niet beschermen: de senaat kan wetgeving niet aanpassen, slechts aannemen of afstemmen. Nederland gaat de VS dus achterna als onveilige datahaven, totdat burgers zelf naar de rechter stappen om hun rechten te beschermen.

Hete aardappel

De fundamentele botsing tussen inlichtingenwerk en privacy was jarenlang de hete aardappel die door de politiek werd doorgegeven, tot de hoogste EU-rechter de Europese politiek tot twee keer toe tot de orde riep. Twee maanden na de Schrems II-uitspraak van het Europese Hof van Justitie op 16 juli, woedt voor en achter de schermen een epische machtsstrijd tussen ‘s werelds grootste techbedrijven, datatoezichthouders en politici aan weerszijden van de oceaan. President Trump zou binnenskamers zelfs gezegd hebben dat de VS nu wraak zal nemen (‘retaliate’) op de EU vanwege haar ongehoorzame rechters.

Facebook zit toevallig in het oog van die storm, omdat de Oostenrijkse student Max Schrems ooit tijdens een semester aan de Amerikaanse westkust in 2011 bedacht de Amerikaanse veronachtzaming van privacy aan te pakken via procedures tegen Facebook.

Het EU-Hof oordeelde eerst in 2015, en nog eens in juli, terecht, dat de Amerikaanse wet en inlichtingenpraktijk Schrems’ privacy, en die van alle Europeanen, onvoldoende beschermt.

Werk aan de winkel, voor iedereen, maar je kunt niet van alle internationaal opererende organisaties verwachten zo’n langverwachte en baanbrekende uitspraak over een in wezen politiek probleem binnen twee maanden na te leven.

Fiksen

Net als de meeste organisaties baseerde Facebook zich op modelcontracten van de Europese Commissie, een legitieme grondslag voor datatransport onder privacywet AVG. Vrijwel elk geavanceerd techbedrijf snijdt de IT-infrastructuur daarop toe: data van een Europese gebruiker ligt nooit te slapen op een server in Europa, maar dupliceert en flitst elke milliseconde naar een datacenter ergens in de wereld waar in die ene oogopslag toevallig even bandbreedte is. Ga dat maar eens in een weekendje fiksen.

Bovendien had de Europese koepel van datatoezichthouders al toegezegd eerst richtlijnen te publiceren hoe bedrijven wél aan de abstracte uitspraak van het EU-Hof moeten voldoen. Om die reden stapte Facebook dus op 11 september naar de rechter om het onverwachte verbod van de Ierse DPC, de leidende Europese toezichthouder voor Facebook, te schorsen.

Na zeven jaar procederen en twee baanbrekende uitspraken van het Europese Hof van Justitie barstte onlangs de Trans-Atlantische databom. In een uitgelekt voorlopig besluit verbiedt de Ierse datatoezichthouder DPC techgigant Facebook om Europese data naar haar thuisbasis in de VS te sturen, omdat het EU-Hof op 16 juli oordeelde dat Amerikaanse wetgeving en inlichtingendiensten het grondrecht op privacy van Europeanen onvoldoende respecteren.

In dezelfde week constateerde de Nederlandse spionnenwaakhond CTIVD in een vernietigend rapport dat de AIVD en MIVD al twee jaar ‘onrechtmatig’ handelen. Zo zouden zij de privacywaarborgen in de Wiv2017, beter bekend als de ‘sleepwet’, doelbewust met ‘kunstgrepen’ omzeilen, om omvangrijke datasets te kunnen delen met andere diensten in andere landen.

Inderdaad, waar Facebook van de DPC twee maanden na de uitspraak van het EU-Hof moet stoppen met intercontinentale data-export binnenhetzelfde bedrijf, constateert de CTIVD dat Nederlandse diensten al ruim twee jaar doelbewust onrechtmatig data delen buiten de organisatie.

Serieus probleem

Nederland propageert wereldwijd een technisch betrouwbaar en juridisch veilige ‘digital mainport’ te zijn, maar heeft nu een serieus imago-, politiek en juridisch probleem. Onze sleepwet zit vol hiaten die het EU Hof in juli ten aanzien van Amerikaanse wetgeving aan flarden schoot.

Ondanks het roemruchte referendum van 2018 over de ‘sleepwet’ heeft de Nederlandse politiek geen enkele verbetering gerealiseerd. En van de controversiële wet worden de waarborgen met voeten getreden. De Eerste Kamer, die zich momenteel buigt over een broodmager reparatiewetje als pleister op de sleepwetwond, kan de geloofwaardigheid, privacy en economische belangen van Nederland niet beschermen: de senaat kan wetgeving niet aanpassen, slechts aannemen of afstemmen. Nederland gaat de VS dus achterna als onveilige datahaven, totdat burgers zelf naar de rechter stappen om hun rechten te beschermen.

Hete aardappel

De fundamentele botsing tussen inlichtingenwerk en privacy was jarenlang de hete aardappel die door de politiek werd doorgegeven, tot de hoogste EU-rechter de Europese politiek tot twee keer toe tot de orde riep. Twee maanden na de Schrems II-uitspraak van het Europese Hof van Justitie op 16 juli, woedt voor en achter de schermen een epische machtsstrijd tussen ‘s werelds grootste techbedrijven, datatoezichthouders en politici aan weerszijden van de oceaan. President Trump zou binnenskamers zelfs gezegd hebben dat de VS nu wraak zal nemen (‘retaliate’) op de EU vanwege haar ongehoorzame rechters.

Facebook zit toevallig in het oog van die storm, omdat de Oostenrijkse student Max Schrems ooit tijdens een semester aan de Amerikaanse westkust in 2011 bedacht de Amerikaanse veronachtzaming van privacy aan te pakken via procedures tegen Facebook.

Het EU-Hof oordeelde eerst in 2015, en nog eens in juli, terecht, dat de Amerikaanse wet en inlichtingenpraktijk Schrems’ privacy, en die van alle Europeanen, onvoldoende beschermt.

Werk aan de winkel, voor iedereen, maar je kunt niet van alle internationaal opererende organisaties verwachten zo’n langverwachte en baanbrekende uitspraak over een in wezen politiek probleem binnen twee maanden na te leven.

Fiksen

Net als de meeste organisaties baseerde Facebook zich op modelcontracten van de Europese Commissie, een legitieme grondslag voor datatransport onder privacywet AVG. Vrijwel elk geavanceerd techbedrijf snijdt de IT-infrastructuur daarop toe: data van een Europese gebruiker ligt nooit te slapen op een server in Europa, maar dupliceert en flitst elke milliseconde naar een datacenter ergens in de wereld waar in die ene oogopslag toevallig even bandbreedte is. Ga dat maar eens in een weekendje fiksen.

Bovendien had de Europese koepel van datatoezichthouders al toegezegd eerst richtlijnen te publiceren hoe bedrijven wél aan de abstracte uitspraak van het EU-Hof moeten voldoen. Om die reden stapte Facebook dus op 11 september naar de rechter om het onverwachte verbod van de Ierse DPC, de leidende Europese toezichthouder voor Facebook, te schorsen.

In potentie kunnen behendige burgers zelfs een civiele massaschadeclaim tegen de diensten instellen, al was het maar om het snoozende Kabinet voorgoed wakker te schudden

Voor de Nederlandse diensten is die afkoelperiode allang voorbij. Al ruim twee jaar constateert de CTIVD moedwillige overtredingen van een wet, die iedere serieuze expert al niet in overeenstemming met het grondrecht op privacy acht. En die onrechtmatigheden hebben volgens de waakhond ‘grote impact op de fundamentele rechten van de burger’, juist omdat ‘het overgrote deel van de burgers en organisaties die in zulke grote sleepnetdatasets voorkomen geen onderwerp van onderzoek zijn, en dat ook nooit zullen worden’.

Burgers accepteren dit niet langer. De Eerste Kamer, in ons staatsbestel de hoeder van de grondrechten, mag de veel te magere reparatiewet niet aanpassen. Net als de Oostenrijkse student Schrems, en de Nederlandse studenten die het referendum agendeerden, zullen burgers zich genoodzaakt zien de rechter genoegdoening te vragen voor een inadequate wet en, vooral, de stelselmatig onrechtmatige praktijken.

In potentie kunnen behendige burgers via een proefprocedure zelfs een civiele massaschadeclaim tegen de diensten instellen, met de onrechtmatige daden uit de CTIVD-rapporten als bewijs; al was het maar om het snoozende Kabinet voorgoed wakker te schudden. De dichter Heinrich Heine zei naar Nederland te reizen als de wereld vergaat, omdat hier alles later gebeurt. Nu de Trans-Atlantische databom al is gebarsten, zal de Nederlandse volgen.