De hoogste Europese rechter heeft een verstrekkende uitspraak gedaan voor techbedrijven als Facebook. Persoonsgegevens van Europese gebruikers mogen niet zomaar in de VS worden verwerkt. Dat komt omdat de VS de privacyrechten van Europeanen niet voldoende beschermt.
Dat is de uitkomst van de zaak die de Oostenrijkse privacy-activist Max Schrems aanspande tegen Facebook en de Ierse evenknie van de Autoriteit Persoonsgegevens.
Niet veilig
Amerikaanse bedrijven mochten tot nu de persoonlijke gegevens van Europeanen verwerken in de VS, op basis van het zogenoemde Privacy Shield. Dat is een afspraak tussen de EU en de VS die het versturen van gevoelige persoonsgegevens toestaat, onder de voorwaarde dat die wel veilig zijn aan de andere kant van de Atlantische oceaan.
Maar dat laatste is helemaal niet het geval, oordeelt het Europese Hof van Justitie. En dus is het Privacy Shield ongeldig.
Het belangrijkste probleem is dat Europese burgers geen mogelijkheid hebben om naar de rechter te stappen in de VS als zij denken dat hun gegevens onrechtmatig door de Amerikaanse overheid worden verwerkt. Bovendien hebben de veiligheidsdiensten in de VS te ruime toegang tot de gegevens, legt een woordvoerder uit.
Spionagewetten
Die toegang voor Amerikaanse veiligheidsdiensten tot de data van Europeanen was ook precies waar Schrems bezorgd over was. "Het is duidelijk dat de VS zijn spionagewetten serieus moet aanpassen, als Amerikaanse bedrijven een grote rol op de Europese markt willen blijven spelen", aldus Schrems in een jubelende eerste reactie op het arrest.
Het is de tweede keer dat Schrems een overwinning boekt op dit front. In 2015 oordeelde het Hof ook al dat de Safe Harbour-overeenkomst niet deugde. Dat was de toen-geldende deal die gegevensoverdracht tussen de EU en VS eenvoudig mogelijk maakte.
Modelcontracten
Om ervoor te zorgen dat de gegevens toch nog konden worden verplaatst, gebruikten bedrijven in de tussentijd, tot het Privacy Shield kwam, een soort modelcontracten. Daarin beloven de partijen die de gegevens aan elkaar overdragen (doorgaans een Europese en een Amerikaanse tak van hetzelfde bedrijf) dat de gegevens in het land van aankomst net zo goed beschermd worden als in de EU.
Die modelcontracten zijn in principe wel gewoon toegestaan, zegt het Europese Hof. Maar ook daarvoor geldt dat er dan expliciete waarborgen moeten worden gegeven dat Europese burgers in grote lijnen dezelfde gegevensbescherming hebben. En in het geval van de VS is dat dus niet het geval.
Video: Jurist Charlotte Meindersma reageert op uitspraak
Juridische limbo
De grote techbedrijven zijn door de uitspraak in een 'juridisch limbo' terechtgekomen, vertelt Ralf Helkenberg, research manager bij IDC op het gebied van privacy en dataveiligheid. Bedrijven moeten nu in kaart gaan brengen wat de alternatieven zijn om toch data te kunnen versturen.
Er zijn nog wel wat opties die de Europese privacywet (AVG) biedt, maar die zijn doorgaans duur om op te zetten, tijdrovend en niet geschikt om data op de oude schaal te versturen, legt Helkenberg uit.
Een zo'n optie zou zijn om van iedere gebruiker expliciete toestemming te vragen. Maar dat is zowel juridisch als praktisch buitengewoon lastig, denkt de specialist.

En nu?
Het is ook nog niet duidelijk wat er nu direct moet gebeuren. Of bedrijven bijvoorbeeld direct moeten stoppen met de datatransfers, of dat het wachten is op een reactie en een nieuw plan van de Europese Commissie.
Officieel heeft die nog niets laten horen, maar volgens Helkenberg was de Commissie zich al aan het voorbereiden op deze situatie. Hij schat in dat de consequentie van de uitspraak in ieder geval zal zijn dat er meer data lokaal, dat wil zeggen in Europa, wordt verwerkt.
Facebook laat in een reactie weten dat het
"Zoals veel bedrijven, overwegen we zorgvuldig de bevindingen en implicaties van de beslissing van het Hof van Justitie met betrekking tot het gebruik van Privacy Shield en we kijken uit naar regelgevende richtlijnen in dit verband.
Facebook laat in een reactie weten dat ze de uitspraak gaan bestuderen. "Zoals veel bedrijven overwegen we zorgvuldig de bevindingen en implicaties van de beslissing van het Hof van Justitie met betrekking tot het gebruik van Privacy Shield. We kijken uit naar regelgevende richtlijnen in dit verband. We zullen ervoor zorgen dat onze adverteerders, klanten en partners kunnen blijven genieten van Facebook terwijl ze hun gegevens veilig bewaren."