De bescherming van gegevens overgedragen naar de Verenigde Staten: kunnen we erop vertrouwen?

Gezien het recente nieuws leek het ons gepast om een overzicht van de situatie te geven. Volgens artikel 45 van de Algemene Verordening Gegevensbescherming (AVG) zijn gegevensoverdrachten buiten de Europese Economische Ruimte (EER) verboden, tenzij kan worden aangetoond dat men zich in een specifieke situatie bevindt zoals voorzien in het genoemde artikel. De twee meest gebruikte uitzonderingen door bedrijven om gegevensoverdrachten buiten de EU en de EER te rechtvaardigen zijn (1) een adequaat beschermingsniveau voorzien door het land van bestemming en (2) de toepassing van standaard contractuele clausules (SCC) tussen bedrijven die gegevens overdragen buiten de Europese Economische Ruimte. In het eerste geval moet het land van bestemming een wetgeving hebben die door de Europese Commissie wordt erkend als een land met een niveau van gegevensbescherming dat gelijkwaardig is aan dat van de Europese Unie. In het tweede geval moeten de SCC's die tussen de twee entiteiten zijn ondertekend, gebaseerd zijn op de modellen die door de Europese Commissie zijn goedgekeurd.

Wat betreft overdrachten naar de Verenigde Staten, sinds de nietigverklaring van het Privacy Shield door het Europees Hof van Justitie (EHJ) in 2020, kunnen bedrijven zich niet langer baseren op een adequaat beschermingsniveau om overdrachten te rechtvaardigen. Het EHJ oordeelde namelijk dat de toegang tot gegevens die aan de Amerikaanse inlichtingendiensten werd verleend op grond van surveillance te ruim was. Wat betreft de SCC's, het is nog steeds noodzakelijk dat de ontvangende organisatie zich conformeert aan de Europese modellen. Dit is niet zo eenvoudig te implementeren gezien de eisen van deze modellen, die soms niet verenigbaar zijn met de Amerikaanse visie op gegevensbescherming.

Om deze juridische leegte op te vullen, en gezien de cruciale belangen voor de digitale economie, heeft de Europese Commissie onlangs een nieuwe tekst aangenomen. Er zijn extra waarborgen ingevoerd om de toegang van gegevens tot de Amerikaanse inlichtingendiensten te reguleren. Voortaan moet de toegang, naast dat deze moet worden gerechtvaardigd in naam van de nationale veiligheid, beperkt zijn tot wat "evenredig" en "noodzakelijk" is om te voldoen aan de bepalingen van artikel 45.3 van de AVG, die de overdracht van persoonsgegevens naar een derde land mogelijk maakt. Hoewel de bedoeling prijzenswaardig is, moet worden erkend dat deze termen, hoewel ze kenmerkend zijn voor de AVG, nog steeds veel ruimte laten voor interpretatie.

Een nieuwigheid van de overeenkomst is het verlenen van een recht van beroep aan Europese burgers als zij van mening zijn dat hun persoonsgegevens onrechtmatig zijn verzameld door de Amerikaanse autoriteiten. Dit recht van beroep gaat gepaard met een recht op correctie of verwijdering van deze gegevens, ook voorzien door de AVG. In vergelijking met het vroegere gebrek aan dergelijke rechten, kan deze vooruitgang worden toegejuicht. Deze nieuwe versie van de tekst heeft de verdienste te willen, althans op papier, Europese burgers dezelfde rechten te geven als Amerikaanse burgers. Voorheen, zelfs bij de invoering van het Privacy Shield, wanneer een Amerikaans bedrijf ongepast gegevens van Europese burgers verwerkte, was er geen beroep mogelijk.

Het lijkt ons echter niet te vroeg om ons te verheugen over deze vooruitgang. Welk recht denkt u dat van toepassing zal zijn? Het Amerikaanse recht natuurlijk. In de praktijk, zal een Europese burger echt voor een Amerikaanse rechtbank stappen om zijn rechten te doen gelden? In dit opzicht lijkt dit recht ons dus utopisch. Bovendien moet men, zowel in het Amerikaanse als in het Belgische recht, een belang hebben om een rechtszaak aan te spannen. Het aantonen van dit belang voor een rechtbank die niet geneigd is tot gegevensbescherming kan een echte uitdaging zijn. Het bieden van beroepsmogelijkheden is goed, maar het kunnen uitvoeren ervan is beter. Het lijkt ons dat deze globalisering van de Amerikaanse justitie niet echt beschermend is voor de rechten van burgers op internationaal niveau.

Daarnaast zitten bedrijven die gegevens naar de VS sturen in hetzelfde schuitje. Hoe kunnen bedrijven, die als onderaannemer verantwoordelijk zijn voor de keuze van hun dienstverleners en de daaruit voortvloeiende beveiliging, hun beveiligingsaudits in de VS uitvoeren? Hoe kan een bedrijf een van zijn klanten, wiens gegevens zijn gecompromitteerd, echt in staat stellen zijn rechten te doen gelden voor een Amerikaanse rechtbank, wetende dat er geen federale gegevensbeschermingsbepaling bestaat?

We kunnen ons ook afvragen hoe de nieuwe overeenkomst zich verhoudt tot de Cloud Act. Deze tekst, die sinds 2018 van kracht is en werd ingevoerd onder het regime van Donald Trump, stelt de Amerikaanse autoriteiten in staat toegang te krijgen tot alle gegevens die worden opgeslagen door Amerikaanse bedrijven, ongeacht hun locatie. Dit geldt dus, a fortiori, voor alle gegevens die door Amerikaanse bedrijven op Europees grondgebied worden opgeslagen. Zal de nieuwe overeenkomst de Cloud Act vervangen? Zullen deze twee teksten onafhankelijk van elkaar worden toegepast? Er blijven nog onduidelijkheden bestaan. Bovendien, hoe kunnen we, zelfs met deze nieuwe overeenkomst, er zeker van zijn dat onze gegevens niet worden opgenomen door een Amerikaans bedrijf dat niet ontsnapt aan surveillance, ondanks de ingevoerde waarborgen?

Het is onmiskenbaar dat de nieuwe overeenkomst die door de Commissie is aangenomen, wordt verwelkomd als goed nieuws voor veel bedrijven die, ongeacht hun grootte, elke dag gegevens naar de Verenigde Staten overdragen. Toch blijft het, naar onze mening, een eerste compromis dat verder moet worden ontwikkeld. Max Schrems, de Oostenrijkse activist die aan de basis lag van de eerdere rechtszaken en uitspraken Schrems I en Schrems II, heeft al aangekondigd beroep aan te tekenen tegen dit nieuwe juridische kader. We kunnen dus verwachten dat de zaak opnieuw voor het Europees Hof van Justitie zal worden gebracht tegen het begin van volgend jaar. In afwachting, en onder deze omstandigheden, raden wij u ten zeerste aan uw gegevens binnen de Europese Unie te houden, onder toezicht van een Europese speler.