Persoonsgegevens van Europeanen zijn niet in veilige handen in de VS. Het land is geen ‘veilige haven’ voor digitale informatie van Europese burgers. Bovendien is massasurveillance van inhoud in strijd met het grondrecht op privacy. Geheime diensten mogen geen algemeen toegang hebben tot persoonlijke data.

Dat heeft het Europees Hof van Justitie in Luxemburg vandaag bepaald. Het arrest van de hoogste rechtbank in de EU betekent onder meer dat burgers bezwaar kunnen maken tegen het doorsturen van hun data naar de VS waar inlichtingendiensten er vrijelijk in kunnen grasduinen. Datastromen van Europa naar de VS zijn daarmee illegaal.

Het is een bijzonder verstrekkende uitspraak, zeggen privacyjuristen. Persoonsgegevens mogen niet worden doorgegeven naar een land buiten Europa zonder passend beschermingsniveau. Toezichthouders zoals het Nederlandse College Bescherming Persoonsgegevens, mogen die gegevensstromen nu onderzoeken en mogelijk stoppen.

Het is ook een stevig signaal naar de Europese Commissie dat zij de privacy van hun burgers goed moeten beschermen. Het is het derde baanbrekende arrest van het Hof op rij, na vorig jaar het recht om ‘vergeten te worden’ (bij Google bijvoorbeeld) en de buitenwerkingstelling van de richtlijn, die de bewaarplicht regelt van klantgegevens van telecomaanbieders voor politie en justitie.

Een klap voor Amerikaanse internetbedrijven

De uitspraak wordt gezien als een klap voor bedrijven als Amerikaanse bedrijven als Facebook en Amazon. Als zij gegevens van hun klanten uitwisselen tussen Europese en Amerikaanse computers overtreden zij de wet. Een boete tot maximaal 10 procent van de omzet behoort vanaf januari tot de mogelijkheden. De bedrijven moeten nu andere manieren zoeken om gegevens uit te wisselen, met meer privacywaarborgen voor gebruikers.

Het Hof zet een streep door het zogenoemde ‘veilige haven’-verdrag tussen de EU en de VS, dat bestaat sinds 2000. De EU wil haar inwoners garanderen dat hun informatie veilig is bij bedrijven. Zij hebben onder meer het recht te weten welke data over ze wordt opgeslagen. Zij mogen die terugtrekken, als ze willen. En ze mogen niet zonder toestemming worden doorverkocht.

Die privacybescherming moet ook in stand blijven als gegevens worden uitgewisseld met landen buiten de EU. Vijftien jaar geleden werd met de VS afgesproken dat Amerikaanse bedrijven gegevens van EU-burgers krijgen als ze beloven dat ze net zo omspringen met de data als een bedrijf binnen de EU moet doen. Nu stelt het Hof dat de Europese Commissie beter had moeten onderzoeken of de VS daadwerkelijk zorgvuldig omgaan met Europese persoonsgegevens.

Onthullingen Edward Snowden speelden belangrijke rol

Het Hof volgt de conclusie die advocaat-generaal Yves Bot, belangrijk adviseur van het Hof, anderhalve week geleden publiceerde. Het massaal afluisteren door onder meer de Amerikaanse inlichtingendienst NSA, onthuld door klokkenluider Edward Snowden, was voor Bot een belangrijke reden de VS niet langer te vertrouwen.

De zaak werd aangespannen door de Oostenrijkse Facebook-gebruiker Max Schrems. Hij vroeg de Ierse privacytoezichthouder te beoordelen of Facebook al zijn gegevens mag opslaan op servers in de VS. Facebooks Europese hoofdkantoor zit in Ierland. De toezichthouder wees de klacht van Schrems af. Die stapte naar het Ierse Hooggerechtshof. Het Ierse Hof vroeg advies aan het Europees Hof in Luxemburg.

In het arrest stelt het Hof onder meer: „Een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie, moet worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven.” Dat oordeel maakt ook massasurveillance in Nederland illegaal en bemoeilijkt mogelijk de plannen van minister Ronald Plasterk (Binnenlandse Zaken, PvdA) op dit gebied.