Legal Look: Victor de Pous over Grensoverschrijdend

Victor de Pous

> Wordt cloud computing grensoverschrijdend genormeerd? Juridische normen zijn doorgaans nationaal van aard. Geografische afbakening luidt de regel en de jurisdictie of rechtsmacht is hierin leidend. Niet alleen door de komst van het World Wide Web van Internet, maar tevens door de grootschalige acceptatie van clouddiensten neemt grensoverschrijdend handelen in soorten en maten via elektronische netwerken al 25 jaar telkens een grote vlucht. Dat merken we inmiddels ook aan de hoeveelheid regels - wetgeving en rechtspraak - die transborder data flows direct of indirect kaderen.

Onder meer de Algemene Verordening Gegevensbescherming (die in mei 2018 rechtstreeks in werking treedt), het EU-US Privacy Shield, de uitspraak in hoger beroep in Microsoft Corporation versus United States of America (Microsoft hoeft de Amerikaanse overheid geen toegang te verlenen tot bepaalde e-mail accounts, die zij controleert en beheert buiten de Verenigde Staten; in dit geval Ierland), de EU-Verordening inzake netneutraliteit en bijvoorbeeld de EU-verordening elektronische identiteiten en vertrouwensdiensten getuigen hiervan. Dit juridische segment komt dan ook flink op stoom. De Europese Unie maakt zich binnenlands sterk voor de één te maken digitale markt, terwijl de digitale handel met de rest van de wereld tevens belangrijk is. Allemaal grensoverschrijdend en met een scherp oog voor de Europese visie op de bescherming van de persoonlijke levenssfeer.

> Wat is de status van het Privacyschild? Op 12 juli 2016 heeft het dagelijks bestuur van de Europese Unie het nieuwe kader aangenomen en van kracht verklaard dat de grondrechten van eenieder in de EU van wie persoonsgegevens naar de VS worden doorgegeven, beschermt. Daarnaast zorgen de afspraken, vastgelegd in het Privacyschild, voor juridische duidelijkheid voor ondernemingen die trans-Atlantisch opereren. Volgens de Europese Commissie voldoet Privacyschild aan de vereisten die het Europees Hof van Justitie heeft vastgesteld in zijn arrest van 6 oktober 2015, waarbij de Safe Harbour-beschikking van 26 juli 2000 ongeldig werd verklaard. Het Privacyschild (i) scherpt de verplichtingen aan van organisaties die persoonsgegevens trans-Atlantisch verwerken, (ii) er zijn duidelijke waarborgen en transparantieverplichtingen voor toegang door de Amerikaanse overheid, (iii) er wordt een doeltreffende bescherming van de rechten van natuurlijke personen en (iv) de regeling wordt jaarlijks gezamenlijk geëvalueerd.

Eurocommissaris single digital market en vicevoorzitter Ansip merkt terecht op dat ‘gegevensstromen tussen onze twee continenten essentieel zijn voor onze samenleving en economie’ en daarvoor is inderdaad een solide kader nodig om ervoor te zorgen dat ‘die doorgiften onder de beste en veiligste voorwaarden plaatsvinden’.

> Wat zeggen de privacytoezichthouders? Toch zijn we er nog niet. Kritische geluiden houden onverkort aan. Zo vinden de samenwerkende privacytoezichthouders in Europa dat concrete waarborgen tegen het in bulk verzamelen van informatie ontbreken. Ook andere criticasters zitten op deze lijn, met als gevolg dat er vrijwel zeker opnieuw de gang naar de Europese rechter zal worden gemaakt. Maar die stap zal niet als eerste door de toezichthouders worden gezet. De zogenoemde Artikel 29 werkgroep gedoogt een jaar lang de huidige situatie en zal vervolgens de effectiviteit van de regeling evalueren. Een ander punt van kritiek richt zich op de ombudsman, die klachten in het kader van het Privacyschild in behandeling gaat nemen. Voldoende borging voor zijn onafhankelijke positie zou ontbreken.

Ondertussen moeten ongeveer 4.500 Amerikaanse bedrijven, die zich eerder hebben geconformeerd aan de Safe Harbour-beschikking, nu hun juridische voorwaarden voor wat betreft de verwerking van persoonsgegevens van burgers uit de Europese Unie in overeenstemming van het Privacyschild brengen. Dat betekent doorgaans een forse aanscherping van de contractuele privacy-afspraken, te publiceren op de website van het bedrijf. Verder behoren ze binnen 45 dagen te reageren op klachten.

Mr. V.A. de Pous is bedrijfsjurist en industrie-analist. Hij houdt zich sinds 1983 bezig met de juridische aspecten van digitale technologie en informatiemaatschappij en is medewerker van uitgeverij FenceWorks.