App-icoontjes van Google, Amazon, Facebook en Apple op een rij

Schrems: ‘Techbedrijven weten niet hoe ze gehoor moeten geven aan vonnis Europees Hof’

Laatst bijgewerkt: 29 september 2020
Leestijd: 3 minuten, 40 seconden

Technologiebedrijven als Facebook en Apple hebben niet de intentie om data van Europese klanten en gebruikers op te slaan in Europa. Een groot aantal andere tech- en databedrijven geeft aan dat ze geen idee hebben hoe ze ervoor kunnen zorgen dat zij voldoen aan het vonnis van het Europees Hof voor Justitie. Voorlopig blijven ze vertrouwen op modelcontracten.

Dat blijkt uit een rondgang van Noyb, de activistische privacyorganisatie van de Oostenrijker Max Schrems. De organisatie klopte bij 33 internationale bedrijven aan met de vraag hoe zij invulling geven aan de uitspraak van het Europees Hof.

Europees Hof maakte deze zomer een einde aan het Privacy Shield

Internationale, voornamelijk Amerikaanse techbedrijven verwerken en slaan al jaren persoonsgegevens op van Europese burgers. Dat gebeurde op basis van het Privacy Shield, een document met daarin afspraken hoe de privacy van Europeanen gewaarborgd kan worden.

Afgelopen zomer zette het Europees Hof voor Justitie daar een streep door. Volgens de rechters is het voor Europeanen vrijwel onmogelijk om invloed uit te oefenen op de wijze waarop hun persoonsgegevens worden verwerkt in de VS. Ook meende de rechtbank dat het Privacy Shield onvoldoende rekening hield met het evenredigheidsbeginsel die in de AVG wordt geformuleerd. Dat betekent dat het land waar data van Europese burgers wordt verwerkt, minimaal dezelfde veiligheidsmaatregelen treft als hier in Europa.

De EU en VS onderhandelen momenteel over een nieuwe en verbeterde versie van het Privacy Shield. Vanwege de aanstaande presidentsverkiezingen in de VS en de complexiteit van de materie, zullen de onderhandelingen waarschijnlijk nog enkele maanden in beslag nemen.

Facebook verzet zich tegen uitspraak Ierse toezichthouder

Om de bedrijfscontinuïteit niet in gevaar te brengen, moesten bedrijven volgens het Hof werken met Standard Contractual Clauses (SCC’s) of Binding Corporate Rules (BCR’s). Deze documenten, ook wel modelcontracten genoemd, beschrijven het data-uitwisselingsbeleid tussen twee of meer partijen. Daarin staat onder meer welke data van Europese burgers worden verwerkt, hoe dat gebeurt en op welke wijze hun privacy daarbij wordt gewaarborgd.

Dit resulteerde onlangs in een rechtszaak. De Data Protection Commission (DPC), de Ierse privacywaakhond, claimde onlangs dat het modelcontract dat Facebook gebruikt niet dezelfde waarborgen bevat als de Europese privacywetgeving. Daarom riep de toezichthouder op om minder persoonsgegevens te verzamelen, of nieuwe afspraken te maken. Facebook vocht het besluit aan bij de High Court en werd in het gelijk gesteld. Het onderzoek van de DPC naar Facebook is daarom voorlopig in de ijskast gezet.

Noyb doet een rondvraag bij 33 organisaties over privacybeleid

Maar hoe zit het met andere bedrijven? Houden zij zich wel aan het vonnis van het Europees Hof? Of gaan ze door op oude voet, zonder enige aanpassingen? Om daar achter te komen heeft Noyb -een acroniem voor None of your business– tussen 27 juli en 24 september in meerdere talen 33 organisaties aangeschreven. Allemaal opereren ze internationaal en verzamelen en verwerken ze persoonsgegevens. Bedrijven als Apple, Airbnb, eBay, Netflix, WhatsApp en Zoom zijn benaderd met de vraag hoe zij omgaan met internationale datatransfers.

De partijen die werden aangeschreven, ontvingen allemaal dezelfde brief. Daarin werden ze geconfronteerd met vragen als of ze data buiten de EU opslaan, op welke juridische basis ze dit doen, of ze zich daarbij beroepen op Amerikaanse wetten en regels en welke technische maatregelen ze nemen om ervoor te zorgen dat persoonsgegevens van Europese burgers niet worden onderschept door de Amerikaanse overheid.

‘De meeste bedrijven hebben geen idee hoe ze nu verder moeten’

In een persbericht schrijft privacyactivist Max Schrems dat hij verbaasd was over sommige reacties die hij ontving. Airbnb, Netflix en WhatsApp reageerden helemaal niet op de vragen. De meesten verwezen simpelweg naar hun privacy- en algemene voorwaarden.

Slack, een veelgebruikte communicatie-app in het bedrijfsleven, zei dat ze “niet vrijwillig” informatie levert aan de overheid. Volgens Schrems is dit een nietszeggend antwoord, omdat het niet ingaat op de vraag of het bedrijf daartoe verplicht is onder Amerikaanse surveillancewetten (FISA702). Microsoft gaf op iedere vraag een antwoord, maar verwijst nog altijd naar oud beleid. Virgin Media stuurde zelfs een kopie op van hun contractmodel.

“Al met al waren we stomverbaasd over het grote aantal bedrijven dat niet in staat was om enkel een standaardantwoord te geven”, zo vertelt Schrems. “Het heeft er alle schijn naar dat het gros van de benaderde bedrijven geen flauw benul heeft hoe ze verder moet gaan.”

Benieuwd welke bedrijven Noyb heeft aangeschreven en wat hun antwoorden waren? De privacyorganisatie heeft alle reacties gebundeld in dit rapport.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen