Gegevensoverdracht naar de Verenigde Staten nu toegestaan: echt waar?

U hebt vast al gehoord over de beslissing van het Hof van Justitie van de Europese Unie om de door de Europese Commissie voorgestelde overeenkomst om de overdracht van persoonsgegevens van Europa naar de Verenigde Staten mogelijk te maken, bekend als het Privacy Shield, voor de tweede keer nietig te verklaren. De belangrijkste reden voor de annulering was dat de Amerikaanse geheime diensten toegang konden krijgen tot persoonlijke gegevens van Amerikaanse bedrijven, en dus tot de gegevens van Europese burgers en consumenten, zonder dat deze laatsten dit konden verhinderen of er zelfs maar van op de hoogte waren. Als gevolg hiervan is het gebruik van Amerikaanse bedrijven als onderaannemers sinds juli 2021 complex geworden en soms zelfs onmogelijk of illegaal.

Na klachten van de NGO NOYB (None of Your Business), die achter de annulering van het Privacy Shield zat, werden in heel Europa klachten ingediend tegen bedrijven die Google Analytics gebruiken. De CNIL en andere Europese autoriteiten waren het met hen eens en verklaarden GA in strijd met de RGPD.

Onlangs nog toonde de recordboete van 1,2 miljard die Facebook kreeg opgelegd opnieuw aan hoe moeilijk het is om de GDPR en de overdracht van gegevens naar de VS met elkaar te verzoenen. Dit alles zorgde voor kolossale juridische onzekerheid, omdat elk beroep op een van de GAFAM's een probleem zou kunnen opleveren en zou kunnen leiden tot hoge boetes.

Boileau's zin over Malherbe parafraserend: Eindelijk kwam Ursula, met een eensgezindheid die de macht leerde, en reduceerde de DPO's tot de regels van de plicht.

Door een toverstokje en een beetje rook en spiegels heeft de Commissie sinds een paar dagen geoordeeld dat de Verenigde Staten weer respectabel zijn, dat hun wetgeving voldoet aan de RGPD en dat de miljarden persoonlijke gegevens van Europese burgers weer doorgegeven kunnen worden aan Amerikaanse bedrijven.

En toch hadden het Europees Parlement, de Europese gegevensbeschermingsautoriteiten en de meerderheid van de experts dit voorstel voor een "adequaatheidsbesluit" veroordeeld, waarin het standpunt wordt ingenomen dat de Amerikaanse wetgeving voldoet aan de RGPD door een oogje dicht te knijpen.

Als gevolg van deze beslissing werden er een aantal verklaringen afgelegd - misschien een beetje hypocriet, of ingegeven door gemakzucht - waarin werd beweerd dat alles in orde was en dat alle persoonlijke gegevens van Europeanen nu zonder enig probleem op Amerikaanse servers konden worden opgeslagen. Helaas is niets minder waar.

Dit besluit zal in de komende maanden waarschijnlijk voor de derde keer worden vernietigd door het Hof van Justitie van de Europese Unie, en wel om een aantal redenen, niet in de laatste plaats omdat massale bewaking en datamonitoring door de gegevensbeschermingsautoriteiten van de Europese Unie een zaak van algemeen belang is. 

En dus zullen Europese bedrijven en organisaties en hun Amerikaanse leveranciers van cloud- en IT-oplossingen een paar maanden lang doen alsof alles in orde is.

En eens te meer wordt er niet alleen geen rekening gehouden met de bescherming van de persoonsgegevens van Europese burgers door de Commissie, maar zou het, in plaats van de omzet van GAFAM op te krikken, niet nuttiger zijn geweest om de inspanningen van de Commissie te investeren in het creëren van Europese oplossingen die Europese burgers en consumenten respecteren?

De NGO NOYB, die achter de eerste twee annuleringen zat, staat in de startblokken om deze beslissing voor de derde keer ongedaan te maken. Zoals voorzitter Max Schrems het zegt: "Ze zeggen dat de definitie van krankzinnigheid is dat je steeds hetzelfde doet en een ander resultaat verwacht".