30 augustus 2020
Privacy Shield ongeldig, hoe nu verder?
Het Europese hof heeft een uitspraak gedaan in de tweede zaak van Max Schrems tegen Facebook. In deze zaak heeft het Europese hof aangegeven dat Facebook, ondanks het Privacy Shield, toch niet voldoet aan de Europese wetgeving.
Dit betekent feitelijk dat het Privacy Shield niet langer geldig is. Dit heeft niet alleen effect op Facebook, maar op alle bedrijven die het Privacy Shield gebruiken. Hieronder vallen een aantal grote namen, zoals Google, Facebook en MailChimp (Rocket Genius).
De reden dat het Privacy Shield niet meer geldig is, is dat alle data die door transatlantische kabels gaat, bekeken kan en mag worden door de NSA (Amerikaanse veiligheidsdienst). Dit gaat in tegen de Europese wetgeving. Sinds Assange weten we bovendien dat dit ook op grote schaal gebeurt.
Het hof laat nog wel een achterdeur open in de vorm van een SCC (standard contractual clause). Deze overeenkomst is in theorie nog geldig, maar aangezien het hof stelt dat de (niet geringe) onderzoeksplicht bij de data-eigenaar ligt en vooraf moet gebeuren, is deze in de praktijk niet tot nauwelijks toepasbaar en/of conform de AVG.
Goed nieuws voor de privacy maar slecht nieuws voor je portemonnee. Het internet was al een tijdje niet meer gratis. Nu lijk je ook een heleboel Amerikaanse diensten, die geen geld kosten, niet meer zakelijk te kunnen gebruiken. Denk hierbij aan Google Documenten, Gmail en natuurlijk Google Analytics… want, zelfs met expliciete toestemming van je klanten/gebruikers, voldoen deze diensten niet aan de Europese wet. De Europese waarborgen voor de privacy blijven namelijk altijd van kracht en deze zijn niet realiseerbaar binnen de Amerikaanse wet (waar de autoriteiten altijd mogen meekijken).
Mag je dan nog wel reclame op je site tonen van reclamediensten uit de Verenigde Staten (lees: Google)? Waarschijnlijk niet. En lettertypes inladen van Google Fonts? Nee, waarschijnlijk ook niet.
Wat mag er dan nog wel? ‘Niets’, zou je bijna denken, maar dat valt mee. Je mag een server huren in Europa en daar een website op zetten. Je mag daar zelf je ‘Google lettertypes’ op hosten, want ze zijn helemaal niet van Google. Je mag op deze website gegevens opslaan van gebruikers van over de hele wereld. Je mag Google vragen naar het aantal bezoekers van je website via Google Search Console. Je mag aan e-mail marketing doen, zolang je daarvoor een dienst gebruikt die uitsluitend in Europa zijn data opslaat. Je mag reclames tonen en aan profiling doen, zolang deze dienst maar in Europa opereert. Let wel, op Google Search Console en het hosten van lettertypes na, heb je voor deze zaken expliciete toestemming nodig van je gebruikers of een gerechtvaardigd belang. Daarnaast moet je gebruiker zijn gegevens kunnen opvragen en inzien en zijn/haar toestemming op elk moment in kunnen trekken.
Dat is allemaal niet eenvoudig, maar het kan wel. Zodra de Europese toezichthouders fanatieker gaan handhaven, en dat zal vroeg of laat gaan gebeuren, dan ga je het serieus voelen in je portemonnee. Onthoud dan dat het een hoger doel dient, namelijk ‘privacy’ en dus ‘vrijheid’. We hebben ons te lang laten leiden door een land met een vrij extreme surveillance cultuur (de Verenigde Staten). Daardoor hebben we teveel van onze privacy ingeleverd. Deze uitspraak is een eerste stap naar een beter internet, waar privacy gerespecteerd wordt en profiling/surveillance niet langer de norm is.
() Joost van der Schee