Geschiedenis
Tot 2015 waren voor de verwerking en opslag van persoonsgerelateerde data de Safe Harbor principles (SHP) van toepassing. In het kort kwam het er op neer dat landen die geen deel uitmaakten van de EU konden aangeven zich te houden aan regels die overeenkwamen met het EU recht.
Met name de Amerikaanse cloud aanbieders en softwarehuizen konden op die manier de business in de EU uitrollen en de data thuis verwerken en opslaan. Die concentratie van data en compute power was natuurlijk voordelig voor het optimaliseren van de schaalvoordelen. Een hyperscaler datacenter is in elk opzicht goedkoper te runnen dan een handvol kleinere locaties verdeeld over meerdere laden.
De SHP zijn echter door de hoogste Europese rechter van tafel geveegd. De overeenkomst biedt totaal geen bescherming voor Europese burgers op het niveau dat de EU van EU ondernemingen eist. Belangrijkste hiaat in de deal is dat de Amerikaanse overheid altijd toegang kan krijgen tot die data en dat ook volop doet. Dankzij Edward Snowden is de omvang van dat datagraaien (Prism) bekend geworden. De naam die hier natuurlijk ook bij hoort is die van Max Schrems. Zijn strijd tegen de datatransfers en verwerking door Facebook hebben de SHP zaak aan het rollen gebracht.
Haastwerk
De Amerikaanse IT bedrijven, social media bedrijven en politiek zag de bui al hangen. Samen met Brussel werd in no time een opvolger in elkaar geflanst. Die zou onder andere regelen dat EU ingezetenen een klacht konden indienen bij een Amerikaanse Ombudsperson. De naam van de nieuwe constructie is Privacy Shield.
Terwijl de inkt van het document nog moest drogen zijn privacy deskundigen uit zowel de EU als de VS goed naar de deal gaan kijken. Met het vonnis over de SHP in de hand konden vraagtekens en uitroeptekens bij deze deal worden geplaatst. Het was voor deze groep duidelijk dat ook deze overeenkomst bij de hoogste rechters ging worden bestreden.
Tussenstand
De issues van Schrems en anderen zijn met de nieuwe naam voor een deal die op de meeste punten gelijk is gebleven niet van tafel. Dat na meer dan drie jaar nog steeds geen Ombudsperson in de VS is benoemd die bevoegd en bereid is op de klachten van EU burgers te reageren maakt het er niet makkelijker op. Evenzo moet niet vergeten worden dat de Amerikanen ondertussen wetgeving (CLOUD act) hebben doorgevoerd die duidelijk niet de EU ingezetenen beschermd.
Dat eind december 2019 de Advocaat Generaal van het EUcJ in zijn opinie meerdere vragen stelt en daarbij onduidelijkheden illustreert is een indicatie dat de tussenstand in deze zaak niet op een overtuigend voordeel van de Amerikaanse partijen wijs.
Juli 2020
Op 16 juli weten we dus wat de voorlopige eindstand in deze rechtsstrijd zal zijn. Sinds de eerste gedachten over de SHP is er heel veel veranderd. De komst van PS is nadrukkelijk niet de grootste verandering. Voor de EU geldt nu de AVG/GDPR en de Amerikanen schermen met de CLOUD act. De politieke verstandhouding tussen Brussel en Washington blijft voor het gemak maar onbenoemd.
Er staat veel op het spel, zoveel is wel duidelijk. Tijd rekken, zoals tot nu toe is gedaan, kan onmogelijk de regel blijven. De kans is groter dat het hele concept van data-concentraties zal worden losgelaten. Dat bepaalde hyperscalers en software aanbieders al jaren terug voor die optie hebben gekozen was geen toeval.
Tot de uitbraak van het Corona virus was ook duidelijk te zien dat al deze partijen in hoog tempo nieuwbouw plannen aankondigden. Een belangrijke reden hiervoor was de, voorheen verketterde, regionalisatie van data en verwerking mogelijk te maken. Het lijkt erop alsof zij weinig vertrouwen hebben in een legale status voor het Privacy Shield.
