Ook buiten Europa moeten jouw gegevens goed beschermd zijn
Het is vakantietijd, een goed moment om het te hebben over `reizende' gegevens. Als jouw persoonlijke gegevens in Nederland gebruikt worden door een Nederlands bedrijf, dan is het duidelijk: dat bedrijf moet zich aan de Nederlandse privacywet houden. Maar hoe goed zijn jouw gegevens eigenlijk
beschermd als ze Europa uitreizen? Daar wordt nu keihard over onderhandeld in Brussel. Wij benadrukken daar dat ook onze gegevens net zo goed buiten Europa beschermd moeten worden als erbinnen.
De nieuwe privacy wet
De onderhandelingen over de nieuwe Europese privacywetgeving zijn in volle gang. Het Europees Parlement heeft in 2014 een positie aangenomen met amendementen die de positie van de burger zouden moeten verbeteren. Daarna kwam de Raad (de regeringsvertegenwoordigers) met haar positie. Die liet
nogal te wensen over. Deze en komende maanden (vermoedelijk tot het einde van 2015) zullen beide instellingen met elkaar om de tafel zitten om tot een middenweg te komen. Dat gaat over komma's en bijzinnen, maar ook over fundamentele principes. Wij proberen ze met onze Europese
zusterorganisaties de goede kant op te sturen (.pdf).
Gegevensbescherming in `derde landen' nu
Per maand onderhandelen het Europese Parlement en de regeringsvertegenwoordigers over de nieuwe Europese privacywetgeving. Deze week bespraken zij wat er gebeurt als jouw gegevens Europa uit reizen. Op 14 juli ging het over het verkeer van gegevens naar `derde landen' en internationale
organisaties. Met derde landen worden landen buiten de Europese Unie bedoeld. Dat is erg controversieel door een `derde land' in het bijzonder: de Verenigde Staten. Het gros van de gegevensverwerkers waar wij gebruik van maken is in de VS gevestigd. Dat heeft consequenties, want de VS heeft
namelijk een veel minder strikte opvatting van gegevensbescherming. Burgers hebben dus minder rechten. Daarnaast hebben de Snowde-onthullingen gegevensverwerking in de VS natuurlijk helemaal controversieel gemaakt..
Om Europese burgers te beschermen stelt de huidige privacywetgeving dat Europa kan besluiten of andere landen een voldoende niveau van bescherming bieden. Voor de VS deed men dat via de zogenaamde `safe harbor' beslissing. Daarin zijn principes vastgelegd waaraan bedrijven zich moeten houden.
Die bescherming is helaas zo lek als een mandje, blijkt herhaaldelijk uit onderzoek. Zo kunnen bedrijven gewoon zeggen dat ze zich aan de `safe harbor' principes houden, maar wordt dat nauwelijks gecontroleerd. Er staan bijvoorbeeld bedrijven op de `safe harbor' lijst die niet eens een
privacyverklaring hebben. Ook heb je als burger minder rechten van inzage, correctie of verzet, en weet je bijvoorbeeld niet wanneer jouw gegevens zijn opgevraagd door overheidsdiensten. Momenteel loopt een rechtszaak van Max Schrems tegen Facebook waarin de rechter `safe harbor' stevig onder
de loep gaat nemen, met name vanwege Prism (een van de twee rechtszaken tegen Facebook van hem).
De nieuwe privacywet moet dit beter regelen
Ondertussen is het belangrijk dat de nieuwe privacywet veel betere bescherming biedt. Daarom dringen we erop aan dat dataverkeer naar andere landen niet mag als er onvoldoende bescherming is. Ook zeggen we dat privacytoezichthouders altijd betrokken moet zijn bij de beslissing dat een land
voldoende bescherming biedt en willen we dat vaker wordt geevalueerd of een land nog steeds in aanmerking komt voor een positieve beslissing.