Privacyactivist dient klacht in bij AP over datatransfers door Nederlandse bedrijven

Servers in een grote serverruimte

De Oostenrijkse privacyactivist Max Schrems heeft met zijn stichting Noyb klachten ingediend bij verschillende Europese privacywaakhonden. Volgens hem wisselt een groot aantal Europese bedrijven data over naar Amerikaanse techbedrijven zonder dat hier een juridische basis voor bestaat. Schrems eist dat de Autoriteit Persoonsgegevens een onderzoek instelt naar onder meer Marktplaats en PostNL. In totaal gaat het om 101 bedrijven die in Europa actief zijn.

Dat schrijft de privacyactivist op de website van zijn stichting.

Privacy Shield waarborgt privacy onvoldoende volgens het Europese Hof

Het uitwisselen van persoonsgegevens en persoonlijke data tussen bedrijven gebeurt op grote schaal. Als je actief bent op Facebook of gebruikmaakt van de diensten van Google, dan staan jouw gegevens op de servers van deze bedrijven. Om ervoor te zorgen dat de uitwisseling en opslag van deze privacygevoelige data op een veilige en verantwoorde manier plaatsvindt, zijn er afspraken gemaakt tussen de VS en  EU.

Tot 2015 waren deze afspraken vastgelegd in het Safe Harbor akkoord. Dat jaar werd deze regeling stopgezet, omdat hij volgens politici te weinig garanties bood om de privacy van Europese burgers te garanderen. Vlak daarna trad het Privacy Shield in werking. Dit akkoord diende jarenlang als basis voor de uitwisseling van persoonsgegevens en andere data tussen de VS en EU. Tot afgelopen maand. Toen zette het Europese Hof van Justitie een streep door deze regeling.

De rechter was van mening dat de Amerikanen niet hetzelfde beschermingsniveau bieden als wij hier in Europa. De Algemene Verordening Gegevensbescherming (AVG) eist namelijk dat bedrijven aan de andere kant van de oceaan gelijkwaardige opslag- en beveiligingsmaatregelen treffen als in de EU. Dit wordt ook wel het evenredigheidsbeginsel genoemd. Het Hof meende dat het Privacy Shield dat niet garandeerde en werd daarom per direct ongeldig verklaard.

Google en Facebook slaan nog altijd data op van Europese burgers terwijl juridische basis hiervoor ontbreekt

Inmiddels praten afgevaardigden van de EU en VS over een nieuw en verbeterd Privacy Shield. Tot die tijd moeten bedrijven hun afspraken vastleggen in modelcontracten, ook wel Standard Contractual Clauses (SCC’s) of Binding Corporate Rules (BCR) genoemd. De European Data Protection Board (EDPB) riep eind juli bedrijven op om hier zo spoedig mogelijk werk van te maken, omdat het Privacy Shield niet langer rechtsgeldig is.

De stichting van Max Schrems Noyb onderneemt actie. Kort gezegd wil de privacyactivist Europese bedrijven dwingen om de handen uit de mouwen te steken en privacy serieus Uit een analyse van de HTML-code van grote Europese bedrijven blijkt dat een groot aantal bedrijven gebruikmaakt van Google Analytics of Facebook Connect. Google noch Facebook heeft volgens Schrems een juridische basis om deze data te verzamelen en over te dragen van de EU naar de VS. Bovendien zijn deze diensten niet nodig om websites in de lucht te houden. Ze tijdelijk uitschakelen was volgens Schrems de enige juiste oplossing.

Nationale toezichthouders ontvangen 101 klachten in dertig landen

Schrems stelt dat modelcontracten niet zonder meer zijn toegestaan om data uit te wisselen. Hij schrijft hierover het volgende: “Het Hof was glashelder: je kunt niet zonder meer modelovereenkomsten gebruiken wanneer de ontvanger in de VS onder de massasurveillancewetten vallen. Het lijkt erop dat Amerikaanse bedrijven hun Europese klanten proberen te overtuigen van het tegendeel. Dat is meer dan twijfelachtig. Volgens de standaardmodellen zou de Amerikaanse gegevensimporteur de afzenders uit Europa moeten informeren en waarschuwen voor deze wetten. Gebeurt dit niet, dan zijn deze Amerikaanse bedrijven feitelijk aansprakelijk voor eventuele financiële schade.”

Om de Europese privacyregels te handhaven, heeft iedere EU-lidstaat een privacywaakhond. In ons land is dat de Autoriteit Persoonsgegevens. Als zij constateert dat een bedrijf zich niet aan de regels houdt, moet zij optreden. De toezichthouder kan boetes opleggen tot 20 miljoen euro, of 4 procent van de wereldwijde omzet.

Om naleving van de AVG te eisen en recht te doen aan de uitspraak van het Europese Hof, heeft de stichting van Schrems klachten ingediend bij de nationale toezichthouders. In totaal gaat het om 101 formele klachten in dertig Europese landen. Deze landen maken onderdeel uit van de EU of de Europese Economische Ruimte (EER). Ook Google en Facebook hebben een klacht ontvangen van de privacystichting, omdat ze nog altijd datatransfers toestaan.

Noyb legt bedrijven en toezichthouders het vuur aan de schenen

In ons land heeft Schrems een klacht ingediend tegen Marktplaats, PostNL, Lieferando en Takeaway, het moederbedrijf van Thuisbezorgd. In de aanklacht staat dat de websites van deze bedrijven het IP-adres en cookiegegevens verwerkt van bezoekers. Deze gegevens worden overgedragen aan Amerikaanse techbedrijven. Noyb wil dat de Autoriteit Persoonsgegevens onderzoek verricht naar de overdrachtsmechanismen van deze bedrijven en de gegevensstroom van de EU naar de VS verbiedt of opschort. Tot slot wil de privacystichting dat de toezichthouder een “evenredige en afschrikwekkende boete” oplegt Het is immers ruim een maand geleden dat het Privacy Shield ongeldig werd verklaard en bedrijven hebben nog altijd geen stappen ondernomen om de gegevensuitwisseling te laten voldoen aan de AVG.

“We begrijpen dat sommige zaken tijd nodig hebben om te regelen, maar het is onacceptabel dat sommige partijen de uitspraak van het Hof negeren”, zo zegt Schrems. “Dat is oneerlijk tegenover concurrenten die zich wel aan de regels houden. Geleidelijk aan zullen we stappen ondernemen tegen de partijen die zich niet aan de AVG houden en tegen toezichthouders die het vonnis van het Hof niet naleven.”

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen