Persoonsgegevens op wolkjes
Persoonsgegevens op wolkjes
“We want technology to advance, but timeless values should endure. And privacy is a timeless value that deserves to endure.” – Microsoft CEO S. Vadella[1]
Bovenstaande quote over de waarde van privacy legt een duidelijke link met de onderzoeksvraag van deze scriptie: Gegevensverkeer in de Cloud: mogen mijn persoonsgegevens worden opgeslagen in landen buiten Europa?
Wat is de Cloud?
De academische titel kan op eenvoudige wijze vertaald worden naar ons dagdagelijks leven. Cloudservices worden zowel in het professionele, als privé leven steeds vaker geïntegreerd. Denk maar aan uw Gmail account of uw Dropbox waar de gegevens niet meer traditioneel op een aanwijsbare server zijn opgeslagen, maar een plaats krijgen ergens ‘in de Cloud’.
De Cloudopslag kan aanzien worden als een synoniem voor online opslag op servers over gans de wereld. Deze werkwijze heeft tal van voordelen voor de gebruiker. Onder andere de ruime beschikbaarheid van de gegevens is een grote troef. De opgeslagen gegevens kunnen namelijk altijd en overal geraadpleegd worden. Enkel een internetverbinding is een noodzakelijkheid. Een ander groot voordeel voor bedrijven is de geboekte efficiëntie-winst doordat verschillende gebruikers tegelijk aan dezelfde gegevens kunnen werken.
Doorgifte van persoonsgegevens
De focus van deze scriptie ligt voornamelijk op de opslag en doorgifte van persoonsgegevens naar derde landen door het gebruik van Cloudservices. Persoonsgegevens zijn gegevens die tot de identificatie van een natuurlijk persoon kunnen leiden. Informatie waarover u aldus graag de macht behoudt.
Maar…
Heeft u er al eens bij stil gestaan waar uw persoonsgegevens die u ‘in de Cloud’ plaatst exact worden opgeslagen? Kunnen uw persoonsgegevens zomaar worden ingezien door (buitenlandse) autoriteiten? Zijn er waarborgen met betrekking tot uw privacy? Kunnen uw persoonsgegevens zomaar worden opgeslagen in de Verenigde Staten, waar een minder verregaand beschermingsniveau geldt dan binnen de Europese Unie?
Op al deze vragen wordt in deze scriptie, vanuit een juridisch uitgangspunt, een antwoord geboden. De recente ontwikkeling van Cloudservices heeft ertoe geleid dat deze materie gereguleerd moest worden. Recht volgt namelijk de ontwikkelingen van de maatschappij (en loopt daardoor soms wat achterop).
Binnen de grenzen van de Europese Unie
De Europese wetgever heeft door middel van de dataprotectierichtlijn 95/46/EG de verschillende nationale wetgevende initiatieven van de lidstaten omtrent privacy en persoonsgegevens in het verleden geharmoniseerd. Recent was deze richtlijn aan vernieuwing toe en dit jaar werd een nieuwe Europese privacy verordening gestemd. Deze evolutie geeft aan dat privacy en persoonsgegevens ‘hot topic’ zijn.
Recht op verbetering en verwijdering van uw persoonsgegevens, recht op vergetelheid, en beperkingen voor de autoriteiten tot toezicht van persoonsgegevens worden strikt gereguleerd in deze verordening.
Doorgifte van persoonsgegevens binnen de Europese Unie is over het algemeen probleemloos, aangezien in alle lidstaten een gelijkaardig beschermingsniveau geldt. Indien u bijvoorbeeld een reis boekt in België, dan kunnen uw persoonsgegevens op eenvoudige wijze en zonder schending van uw privacy worden doorgegeven naar de Spaanse luchtvaartmaatschappij.
Buiten de grenzen van de Europese Unie
Doorgifte van Europese persoonsgegevens buiten de Europese Unie heeft echter een ander juridisch statuut, aangezien er steeds een gelijkaardig beschermingsniveau moet kunnen worden geboden door de ontvangende staat. In mijn scriptie werd de klemtoon gelegd op de doorgifte van persoonsgegeven naar de Verenigde Staten, aangezien deze regeling dit jaar een nieuwe wending kreeg.
Het verleden heeft reeds aangetoond dat de VS minder streng omspringt met privacy van persoonsgegevens. Onder andere het PRISM afluisterschandaal en de SNOWDEN onthullingen duidden erop dat de Amerikaanse autoriteiten buiten de wettelijke grenzen handelden en hierbij de wettelijke basis voor doorgifte (Safe Harbor verordening) overtraden. Het Europees Hof van Justitie oordeelde dan ook eind 2015 dat Safe Harbor geen gelijkwaardige bescherming als het Europees wetgevend kader biedt, waardoor deze nietig werd verklaard. Al snel ontstond de nood om dit wettelijk hiaat op te vullen.
Na maanden van onderhandelingen (en rechtsonzekerheid), werd begin 2016 een nieuwe wettelijke basis onder de vorm van de ‘Privacy Shield’ door de Europese Commissie bekend gemaakt. Ten opzichte van Safe Harbor is deze regulering een stap vooruit. Onder andere een onafhankelijke ombudsman zal instaan voor klachten in verband met de privacy van Europese burgers. Dit zorgt er voor dat de rechtsingang aanzienlijk wordt vergemakkelijkt.
Al snel kwamen echter enkele knelpunten in deze voorlopige versie aan het licht. Vooral de eventuele mogelijkheid op toezicht van persoonsgegevens door de Amerikaanse autoriteiten blijft een hekel punt. Ook de inconsistentie van de tekst zorgt voor een minder sterke rechtszekerheid.
Dit toont aan dat het ontwikkelen van wetgevende initiatieven een opdracht van lange adem is. De definitieve versie van Privacy Shield werd begin juli 2016 uiteindelijk bekend gemaakt. Deze versie werd nog niet in mijn scriptie verwerkt, aangezien deze bekendmaking na de deadline van indiening lag. Over het algemeen werden er geen grote aanpassingen gedaan ten aanzien van de voorlopige versie. Ook heeft dit niet tot gevolg dat mijn scriptie meteen gedateerd zou zijn. De evolutie en totstandkoming van regulering rond privacy en persoonsgegevens blijven van essentieel belang om een duidelijk beeld te hebben van de huidige wettelijke toestand.
Verder blijft er sterke kritiek luiden vanuit verschillende hoeken. Het is aldus niet onmogelijk dat ook de Privacy Shield onder het vizier komt van het Europees Hof van Justitie.
Met z’n allen in de Cloud
Dat recht een evoluerend begrip is, loopt als een rode draad doorheen mijn scriptie. Dit maakt de studie van het recht dan ook uiterst boeiend.
Het onderwerp van mijn bachelorproef mag op het eerste zicht dan wel een ‘ver-van-mijn-bed-show’ lijken, toch heeft regulering omtrent persoonsgegevens en Cloudservices een grote impact op ieder van ons. Een ruimere bewustwording van dit thema is dan ook een doelstelling die ik door deelname aan de scriptieprijs graag wil bereiken. Tenslotte heeft iedereen wel al een plaatsje bemachtigd ‘in de Cloud’.
[1] B. Smith, “The collapse of the US-EU safe harbour solving the new privacy rubiks cube”, 20 oktober 2015, http://blogs.microsoft.com/on-the-issues/2015/10/20/the-collapse-of-the… (geconsulteerd op 10 april 2016).
