Onlangs sloot de Europese Commissie de Privacy Shield-overeenkomst met de Verenigde Staten. De opvolger van Safe Harbor moet de data van Europese burgers op Amerikaanse servers beschermen tegen de ogen en oren van de Amerikaanse overheid. De Europese privacywaakhond EDPS uit echter forse kritiek. Terecht: met de huidige regeling is de privacy in de overzeese cloud allesbehalve gewaarborgd.
Privacy Shield verbiedt 'massasurveillance' van data van Europese gebruikers. Maar de terminologie in het akkoord is uiterst vaag. Zo wordt niet gespecificeerd wat precies daaronder valt en wat niet. Met dergelijke onduidelijke regelgeving is het absoluut niet uitgesloten dat het in bulk verzamelen van gegevens onverminderd doorgaat. Sterker nog: het geeft de VS een 'incentive' om die zogenaamd preventieve surveillance zo goed mogelijk verborgen te houden. Niet voor niets heeft het Europees Parlement grote vraagtekens gesteld bij voornamelijk deze passage.
Doekje voor het bloeden
Privacy Shield maakt het gemakkelijker uit te vinden welke wegen je data bewandelen. Het eist meer transparantie van bedrijven. Ook moet het akkoord het voor burgers gemakkelijker maken om klachten in te dienen. Zij kunnen bij een ombudsman terecht wanneer zij het niet eens zijn met de manier waarop hun data behandeld worden. Dat klinkt mooi, maar is natuurlijk niets meer dan een doekje voor het bloeden. Dat je straks gemakkelijk kunt zien op welke manier je privacy geschonden wordt en daar ook nog eens gemakkelijker over kunt klagen, is natuurlijk iets anders dan een goede privacybescherming.
Twee maten
Er is nog een belangrijk bezwaar tegen het huidige Privacy Shield, en dat heeft te maken met onze eigen wetgeving. Vanaf 2018 is de GDPR (General Data Protection Regulation) in heel de EU van kracht. Die regeling gaat beduidend verder dan Privacy Shield. Zo staat het recht om vergeten te worden en de controle die eindgebruikers over hun eigen data hebben en behouden veel verder dan de huidige afspraken in Safe Harbour. Met het gevaar dat we over twee jaar met twee maten meten. Ik voorzie juridisch getouwtrek.
In zijn huidige vorm is Privacy Shield gedoemd te stranden bij de rechter, zoals ook het geval was bij de Safe Harbor-regeling. De juridische basis is simpelweg te wankel. Dan is het maar weer afwachten wat een derde voorzet ons gaat brengen.
Blijf in Europa
Burgers en bedrijven die hun privacy serieus nemen, gaan dan ook het beste in zee met
Europese
dienstverleners met datacenters aan deze kant van de oceaan. Dat wil niet zeggen dat Amerikaanse diensten uit den boze zijn. Zo kan Microsoft Azure wel voldoen aan de wet- en regelgeving, omdat deze in de Duitse datacenters zijn gehost die voldoen aan de striktste privacywetgeving van de EU. Met die mate van privacybescherming zal de Amerikaanse overheid zoals het er nu naar uitziet nooit akkoord gaan. Wat mij betreft doen burgers en bedrijven die gesteld zijn op hun privacy er dan ook goed aan niet te wachten tot weer een nieuw plan. Data moeten voor hen simpelweg altijd op Europees grondgebied blijven.
Dit blog is eerder geplaatst op Computable.nl
