Data van EU burgers is niet veilig in Groot Brittannië

Technite wijst al meer dan twee op de impact van Brexit als het gaat om het opslaan van data van EU burgers in Groot Brittannië. Gisteren is de vrees dat dit een probleem wordt bevestigd door Sophie in ‘t Veld. Voor wie nog geen stappen heeft gezet is het nu de hoogste tijd een data evacuatieplan te starten.

Aan de laars lappen

Zolang de Britten deel uitmaakten van de EU waren ze gebonden aan het Europees recht. De data van de eigen ingezetenen en die van EU burgers is te beschermen en respecteren. Die uitspraak is door alle partijen keer op keer herhaald en op papier nageleefd. Er was echter al enige jaren een probleem. De bevoegdheden van de Britse geheime dienst om communicatie te onderscheppen, data af te tappen en te bewaren stonden haaks op die regels (zie ook link). Dat de Britten de regels aan hun laars lapten is sinds de onthullingen van Snowden “officieel” bekend. Dat de hack van Belgacom een Britse actie was geldt ook als meest logische optie.

Brexit en data

Zolang de Britten deel uitmaakten van de EU was het normaal ze niet te hard op de vingers te tikken. Omdat Londen de EU heeft verlaten kan die mildheid overboord en dat is wat er inmiddels ook gebeurt.

De Britse regering heeft sinds Brexit de nodige tegenstrijdige signalen afgegeven. Schijnbaar om de Britse economie niet al te veel te schaden roept het regelmatig een databeschermingsniveau te garanderen dat niet onderdoet voor dat van de EU. Zo moet voorkomen worden dat de data van EU burgers niet meer in het VK en Gibraltar opgeslagen en verwerkt mag worden.

Welke EU data precies?

Voor “data van EU burgers” is geen korte definitie mogelijk. Het omvat nadrukkelijk veel meer dan de NAW en andere contactgegevens van iemand die zich heeft ingeschreven voor een nieuwsbrief of een bestelling heeft gedaan die door een Britse verzender wordt afgewikkeld.

Het betreft bijvoorbeeld ook alle data van werknemers met werkgevers die in het VK zij gevestigd. Contactgegevens van zakelijke relaties en informatie van supporttickets zijn ook data die persoonsgegevens kunnen bevatten.

Deal VK – VS

Terwijl Londen de EU voorhoudt dat het serieus werk wil maken van een databeschermingsniveau onderhandelt het ook met de VS. In oktober 2019 sluiten de twee landen een deal voor het delen van elektronische data om “serious crime” beter te kunnen bestrijden.

Die deal is onmogelijk in lijn te brengen met de EU regels en voorschriften. Twijfelaars en ontkenners hebben het wat dat betreft erg lastig sinds gisteren. De EDPB (European Data Protection Board) heeft schriftelijk gereageerd op vragen van de leden van het EP, waaronder in ‘t Veld.

De Amerikaans-Britse deal en de toekomstige EU-Britse deal is in een brief van twee kantjes voorzien van niet te missen waarschuwingen. De Amerikaanse “binnenlandse” wetgeving (lees: CLOUD act) moet worden gepareerd (of: gerepareerd) door een EU-VS deal. Op dit moment onbreken namelijk de noodzakelijke “safeguards”.

Wat betreft de Britten zegt de EDPB dat de deal tussen de VK en VS aandacht verdient. Zonder deze deal kan is neit te zeggen of de Britten bereid en in staat zijn een databeschermingsniveau te garanderen. De EDPB heeft geen duidelijke clausules in de VS-VK deal gevonden die de twijfels wegnemen.

De consequentie van die constatering is duidelijk. Mocht Londen niet bijdraaien dan heeft iedereen die data van EU burgers naar Groot Brittannië stuurt binnenkort een probleem.