Ik neem u mee terug naar 6 oktober 2015. Op die dag deed het Europese Hooggerechtshof uitspraak in de zaak van Maximilian Schrems. Deze Oostenrijkse staatsburger had een rechtszaak aangespannen tegen Facebook, dat zijn persoonsgegevens vanuit haar Ierse server transfereerde naar de Amerikaanse server van het bedrijf.
Schrems vond dat Facebook onvoldoende bescherming zou bieden tegen mogelijke onderzoeksinitiatieven van Amerikaanse overheidsinstellingen, waaronder de National Security Agency (NSA). De beschermingscriteria waaronder de gegevens van Maximilian Schrems vielen, waren vervat in het zogenoemde Safe Harbor Agreement tussen de EU en de Verenigde Staten.
Het Europese Hooggerechtshof oordeelde dat de beschermingscriteria – met name op het gebied van bescherming tegen onderzoeksinitiatieven van de Amerikaanse overheid – niet voldoende waren en verwierp daarmee het EU-US Safe Harbor Agreement dat sinds november 2000 bestond. Als gevolg van deze uitspraak van het Europese Hooggerechtshof bestond er dus geen overkoepelende Europese overeenkomst meer met betrekking tot de verwerking en protectie van persoonsgegevens in systemen in de Verenigde Staten. In de praktijk betekende dit simpelweg dat de nationale wetgevingen op het gebied van gegevensbescherming in werking zouden treden in plaats van de Europese ‘blanket’ wetgeving.
Travel managers in de stress
Veel corporate travel managers die de klok wel hadden horen luiden maar absoluut niet wisten waar de klepel hing, schoten ineens in de stress en begonnen normale dataprocessen te derailleren en – onbekend met de echte juridische aspecten van data transfers – allerlei wilde kreten over data protection in de markt te ventileren. Terwijl ze bijvoorbeeld wel gewoon vluchtreserveringen op Amerikaanse luchtvaartmaatschappijen – waarvan de servers ook in de VS staan – maakten.
Deze bizarre tijden zijn (gelukkig) voorbij, want op 12 juli jl. hebben de Europese Commissie en de Amerikaanse overheid een nieuwe, meer stringente en uitgebreide overeenkomst op het gebied van bescherming van persoonlijke data gesloten, het zogenoemde EU-US Privacy Shield. Deze overeenkomst beschermt de fundamentele rechten van iedere EU-ingezetene van wie de persoonlijke data in servers in de Verenigde Staten worden verwerkt. Voorbeelden hiervan zijn systeemleveranciers als Microsoft, Apple, Facebook en Google. Het EU-US Privacy Shield dat nu in werking is getreden, brengt ook duidelijkheid op het gebied van bescherming van de transfer van persoonsgegevens voor zowel Europese als Amerikaanse bedrijven. Het is goed te constateren dat met deze nieuwe wetgeving de rust aan het EU-US datafront is weergekeerd.
Nu er alleen nog even voor zorgen dat de Europese landen ook zelf orde op zaken stellen. Ik las vorige maand een artikel in de Süddeutsche Zeitung. Daarin stond dat de vluchtgegevens, namen en creditcardnummers van miljoenen Duitse reizigers als gevolg van ‘gaten’ in de beveiliging van de systemen van een van de grootste Duitse ticket-consolidators (Aerticket) sinds 2011 onbeschermd waren en in feite op straat lagen!
