Einde van een tijdperk
Deze uitspraak betekent het einde van een tijdperk. Jarenlang hebben Washington en Brussel gedaan alsof Privacy Shield een waardige en betere opvolger was van de Safe Harbor principles. Die waren in 2015 door Hof van Justitie voor de EU ongeldig verklaard. De rechten van EU ingezetenen werden door de SHP niet afdoende beschermd.
In principe had met het Privacy Shield dat hiaat opgelost kunnen worden, maar in Washington was onder de vorige en huidige president de bereidheid te reageren grotendeel afwezig. Dat leidde tot een regeling waarvan iedereen met enige kennis van het EU recht kon vertellen dat die niet klopte.
Het duurde echter de nodige jaren eer de tegenstanders van de regeling het geschut in stelling hadden gebracht en de zaak uiteindelijk in Luxemburg voor de rechters kwam. Tot die tijd hebben duizenden Amerikaanse ondernemingen persoonlijke gegevens vergaard en verwerkt op een manier die niet in overeenstemming het het EU recht was. Die bedrijven deden dat en wisten daarbij dat in Washington hen geen strobreed in de weg legde. Weerstand of zelfs maar kritische vragen vanuit Brussel was onmeetbaar. Een groot aantal Europese ondernemingen en brancheorganisaties droegen bij aan de misstanden. De eerste groep sluisde de data gewoon door, bij de tweede groep was vooral te horen dat de politiek de digitale werkelijkheid niet begreep en dat de internationale IT vooral niet moest worden gedwarsboomd.
Dit alles is nu dus geschiedenis.
Hoe nu verder zonder Privacy Shield?
Er is een belangrijke groep in deze ontwikkeling die weinig van zich heeft laten horen. Dat zijn de privacy en EU recht deskundigen die als consultants en adviseurs aan de slag moeten gaan. Bestaande procedures en overeenkomsten voor bedrijven die data verwerken in de VS of het daar laten opslaan moeten op de schop.
Dat is om meerdere redenen een enorme klus. Ten eerste is er na het afschieten van PS niet snel te rekenen op een opvolger. In Washington is de bereidheid met de EU te onderhandelen minimaal. De suggestie dat met bestaande of nieuwe Standard Contractual Clauses (SCCs) het probleem verholpen is wordt nadrukkelijk niet door iedereen onderschreven. De optie van Binding Corporate Rules (BCRs) is evenmin vrij van twijfel. Een praktische horde is dat SCC’s en BCR’s niet een standaard overeenkomsten zijn die in een dag getekend kunnen zijn.
Winnaars en verliezers
Bovenstaande maakt al duidelijk dat externe adviseurs het de komende weken en maanden extra druk gaan krijgen. Dit zijn de eerste winnaars in deze zaak. Dat honderden miljoenen burgers in de EU zijn ook winnaars in deze zaak. Of iedereen dat ook zo ervaart is een andere zaak.
Verliezers zijn er velen. De Europese Commissie heeft er een serieus probleem bijgekregen (waarover later meer). Voor Amerikaanse bedrijven zijn er ook nieuwe problemen bijgekomen. Vervelend is ook de positie van brancheorganisaties op nationaal en Europees niveau die zich hard hebben gemaakt voor grenzeloze datastromen.
Ten slotte is er nog een verliezer die zich heel stil houdt. Op basis van deze uitspraak is de kans dat persoonsgegevens van EU burgers na Brexit nog in het VK opgeslagen en verwerkt mogen worden wel heel erg klein geworden. Dat weten ook alle burgerrechtenorganisaties.
Elk nadeel heeft zijn voordeel
Dat de Europese Commissie een flinke tik heeft gekregen is duidelijk. Tegelijk komt die oorvijg wel heel gelegen. Zie de post van gisteren. Duitsland is dit halfjaar voorzitter van de Europese Raad en samen met Frankrijk een warm voorstander van GAIA-X.
De EC kan van de nood een deugd maken door te versnellen met GAIA-X. Dat is goed voor de persoonsgegevens van alle EU ingezetenen en tegelijk een goede boost voor de EU cloud en datacenter aanbieders. Het lost het probleem van het afgeschoten Privacy Shield niet direct op, dat nadeel is een gegeven. Maar het langere termijn voordeel kan heel groot zijn.
