Vrije data-uitwisseling met de Britten nog onzeker

Bevoegdheid van inlichtingen- en opsporingsdiensten kan roet in het eten gooien

De doorgifte van data naar het Verenigd Koninkrijk (VK) wordt voorlopig niet stopgezet. Het komende halfjaar blijft alles bij het oude. Ook daarna kan het goed gaan. De Europese privacywetgeving lijkt vrij goed vergelijkbaar met die in het VK. Maar er schuilt een lelijk addertje onder het gras.

Het addertje onder het gras betreft de bevoegdheden die inlichtingen- en opsporingsdiensten hebben om in dataverzamelingen te grasduinen. Net zoals bij de Privacy Shield-overeenkomst tussen de EU en Amerika, kunnen deze bevoegdheden roet in het eten gooien. Als die surveillancepraktijken in de ogen van EU te ver gaan, is het gedaan met vrije uitwisseling van data met de Britten. Gegevens zullen dan niet meer ongehinderd over de grens stromen.

Alex van der Wolk, partner bij het internationale advocatenkantoor Morrison & Foerster in Brussel, wijst op dit gevaar als gevolg van de brexit-deal. Cruciaal wordt het oordeel van de Europese Commissie over de opsporingsbevoegdheden van Britse veiligheidsdiensten, zoals MI5 en MI6. De advocaat waagt zich niet aan een voorspelling over de uitslag hiervan. Zo'n prognose is lastig, doordat de Britse tegenhanger van de Wet op de inlichtingen- en veiligheidsdiensten nooit is getoetst aan de Algemene verordening gegevensbescherming (AVG).

Privacy Shield

De vraag of er in de Britse 'sleepwet’ voldoende waarborgen zitten voor de privacy, kan pas na uitvoerig onderzoek worden beantwoord. Volgens Van der Wolk moet de Europese Commissie dit punt wel uitvoerig bekijken. Door de uitspraak van het Europees Hof van Justitie kan de Europese Commissie hier geen oogje dicht knijpen. Het EU-VS Privacy Shield, waarvoor de Commissie verantwoordelijk was, deugde in de ogen van het Hof niet. Reden was dat de Amerikaanse inlichtingendiensten aan te weinig privacyregels zijn gebonden en veel vrijheid hebben in databanken te snuffelen.

Volgens Van der Wolk betekent het vonnis van Europa's hoogste rechtsorgaan over het Privacy Shield dat de Europese Commissie op de vingers is getikt. De Commissie kan zich geen nieuwe uitglijder permitteren. Bij het onderzoek van het Europees Hof in de zaak-Schrems II ging het uitsluitend over de deal tussen de EU en de VS om de doorgifte van persoonsgegevens naar de VS te borgen. Daarom is uitsluitend naar Amerika en niet naar landen binnen de EU gekeken. 

Adequaatheidsbesluit

De rol van inlichtingendiensten binnen de EU-lidstaten bleef dus buiten beschouwing, doordat deze voor Schrems II niet relevant was. Maar de nieuwe afspraken die vanaf 1 januari tussen de EU en het VK, nopen wel tot een oordeel. Van der Wolk: ‘Het probleem dat de EU met de macht van de Amerikaanse opsporingsdiensten had, kan ook gaan spelen met het Verenigd Koninkrijk. Het zou zomaar kunnen dat de Britse surveillance-wetgeving een adequaatheidsbesluit tegenhoudt.’ Dan ontstaat een situatie dat de Britse dataregels wel vergelijkbaar worden geacht, maar de positie van de Britse opsporingsdiensten een struikelblok vormt.

Van der Wolk ziet verder weinig beren op de weg als het om de gegevensbescherming gaat. De Britten hebben tijdens hun jarenlange lidmaatschap van de EU de regelgeving altijd goed nageleefd. De AVG gold ook in het VK. Bovendien zijn de Britten niet van plan op gebied van privacy veranderingen aan te brengen. Van der Wolk hoopt innig dat zo'n adequaatheidsbesluit er snel komt. Het zou immers enorm veel administratief werk betekenen als met het VK niet meer gewoon data kunnen worden uitgewisseld.

Andere landen

"Overgangsperiode van zes maanden is wel heel kort"

Of zo'n adequaatheidsbesluit er snel komt, valt te betwijfelen. De overgangsperiode waarin data vrijelijk met het VK kunnen worden uitgewisseld, duurt slechts vier maanden met een optie tot verlenging van twee maanden. Voor andere landen buiten de EU, waaronder Israël en Japan, heeft de Europese Commissie soortgelijke besluiten genomen.

Het duurde soms wel vijf jaar voordat de Commissie ervan overtuigd was dat die landen een passend beschermingsniveau van de verwerking van persoonsgegevens bieden. Van der Wolk: ‘Zes maanden is dan wel heel kort.’ Bovendien werd bij die beoordelingen destijds vooral gekeken naar de privacywetgeving en niet naar de veiligheidsdiensten, althans niet op de manier zoals het Hof dat graag zou zien.

Modelcontracten

Alex van der Wolk (advocatenkantoor Morrison & Foerster)

Heel lastig wordt het als de Europese Commissie tot een negatief oordeel komt. De doorgifte van data kan onmogelijk stoppen. Van der Wolk hoopt dat de EU dan met praktische oplossingen komt. Bedrijven mogen wat dat betreft niet aan hun lot worden overgelaten.

Modelcontracten (standard contractual clauses) bieden een uitweg. Maar die vereisen wel wat werk om te implementeren. Bedrijven moeten feitelijk beschrijven wat voor data naar het VK gaan en voor welke doeleinden. Vooral voor bedrijven met meerdere leveranciers in het VK kan dat een hoop werk opleveren.

Bedrijven moeten namelijk toetsen hoe de Britse wetgeving hen raakt. Ze dienen te onderzoeken of die wetgeving geen afbreuk doet aan de privacybescherming via die modelcontracten. Hieraan zitten veel haken en ogen. Voor dataoverdracht binnen organisaties bieden de Binding Corporate Rules (BCR's) uitkomst. In Nederland hebben onder meer ABN Amro, ADP, Rabo, Philips, Shell, Cisco, ING en Unilever een BCR. In België beschikken Adient, UCB, MasterCard en MSD daarover. Internationaal hebben bijvoorbeeld HP, Intel, Oracle en Salesforce zulke regels.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Sponsored content 

HPE information Governance solutions: controle over uw data

Door datagroei, hogere gebruikerseisen en regelgeving wordt datamanagement een steeds grotere uitdaging. En dat terwijl uw bedrijfsdata ook uw waardevolste bezit is. Met de flexibele, modulaire datamanagement-oplossingen van Hewlett Packard Enterprise neemt u het heft in handen en haalt u bruikbare inzichten uit uw data tegen zo laag mogelijke kosten. 

Ontdek in deze whitepaper hoe u Information Governance proactief aanpakt met maximaal voordeel en minimale kosten.

Lees hier verder.


Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2020-12-31T13:09:00.000Z Alfred Monterie
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.