Habemus Privacy Shield 2.0

Op 25 maart 2021 kondigde Didier Reynders samen met de Amerikaanse Secretary of Commerce aan dat ze intensievere onderhandelingen gingen voeren over transatlantische uitwisselingen van persoonsgegevens. Het duurde vervolgens nog exact één jaar voor het hoge woord er uit was vorige vrijdag: er is een principe-akkoord. Met de nadruk op principe, zoals Didier Reynders meteen haastte om te benadrukken na de aankondiging, waar overigens niet hij maar Ursula von der Leyen de aankondiging deed aan de zijde van Joe Biden. 

De betrokkenheid van beide geeft meteen aan op welk niveau het spel ondertussen gespeeld wordt. Europa heeft lang de poot stijf gehouden en steeds benadrukt dat een nieuwe Privacy Shield overeenkomst enkel mogelijk was als er significante wijzigingen zouden gebeuren in Amerikaanse wetgeving met betrekking tot bulksurveillance en de rechten van Europese burgers die er mogelijk aan onderworpen worden. Op de achtergrond speelt mee dat Europa de onderhandelingen ook gebruikt om werk te maken van een speerpunt van de afgelopen periode: Europese digitale soevereiniteit, oftewel de nood om iets te doen aan Europa’s afhankelijkheid van Amerikaanse tech bedrijven. Europa gebruikt daarvoor overigens niet enkel privacy als argument: de laatste twee jaar zijn er tal van initiatieven voor nieuwe wetgeving die toch veelal gericht zijn op de grote techspelers wat bijna uitsluitend Amerikaanse bedrijven zijn. Denk aan de Digitals Services Act, de Digital Markets Act, en in iets mindere mate de AI Regulation. 

An offer they can’t refuse

Des te saillanter is het dat net een andere vorm van afhankelijkheid wellicht een grote rol heeft gespeeld in de onderhandelingen rond het nieuwe akkoord. Stel het je maar voor: de druk op de Amerikaanse regering loopt op vanuit Big Tech: “Regel het nu eens met Europa, wij zijn al die onderhandelingen en contracten en transfer impact assessments beu!”, tegelijk doet Europa al twee jaar moeilijk maar de regering weet maar al te goed dat de aanpassingen aan wetgeving die Europa vraagt nooit door het Amerikaanse Congres zullen komen. De spagaat is compleet. En plots is daar die mafketel van een Putin die Europa op z’n kop zet en waardoor de Europese Unie ineens andere prioriteiten krijgt, namelijk zo snel mogelijk afraken van Russisch gas. Joe Biden ziet de ruimte voor “an offer they can’t refuse”: Europa krijgt een alternatief voor Russisch gas, maar dan moeten ze wel even iets inschikkelijker zijn over dat gedoe rond privacy. 

Max Schrems, uiteraard de bezieler van de vorige twee uitspraken bij het Europees Hof Schrems I en II, denkt er het zijne van. Hij kondigde in een reactie al aan dat de gang naar het Europees Hof ook voor een derde keer gemaakt zal worden als blijkt dat dit nieuwe akkoord eenzelfde lege huls is als het vorige en dat het deze keer ook aanzienlijk sneller zal kunnen: maanden eerder dan jaren. Nu kun je denken dat Max Schrems misschien niet geheel objectief naar de zaak kijkt na meer dan zeven jaar rechtszaken aanspannen rond deze materie maar hij is niet de enige. Ook andere betrokkenen bij de onderhandelingen geven aan dat ze bang zijn dat het huidige akkoord de kernproblemen niet voldoende aanpakt. 

Het gaat niet om knikkers

Want uiteraard is er niets op tegen dat onderhandelingen op het hoogste niveau inhouden dat je een beetje geeft en een beetje neemt. In dit specifieke geval gaat het echter over onderhandelingen waar de fundamentele rechten van Europeanen op het spel staan en waar op de lange termijn niemand iets heeft aan een akkoord dat over een jaar opnieuw sneuvelt bij het Europees Hof. Of dat het geval is, moet nog blijken. Voorlopig hebben we enkel een persbericht en een algemene factsheet. Het lijkt er op neer te komen dat Biden met een Executive Order, een soort presidentieel decreet, en een klaagmuur/privacy rechtbank alle eisen van Europa rond waarborgen voor onze gegevens kan inwilligen. Als dat zo eenvoudig kon, waarom is dat dan geen jaar eerder gebeurd? 

Om er een Engels cliché van jewelste tegenaan te gooien, the proof of the pudding is in the eating. De echte tekst van het akkoord moet nog geschreven worden en dat betekent dat we wellicht nog een maand of zes mogen wachten voor het tot een goedgekeurd verdrag komt: de tekst moet geschreven worden, de European Data Protection Board moet een (niet-bindend) advies geven en de Europese leiders moeten nog instemmen. Als die stappen doorlopen zijn, weten we eigenlijk pas waar we aan toe zijn: een robuuste overeenkomst die tegemoet komt aan de bezorgdheden van Europa en die ons eindelijk zekerheid geeft voor internationale doorgiftes van persoonsgegevens naar de VS, of een politiek akkoord dat met touw en spuug aan elkaar hangt en vroeg of laat weer zal sneuvelen bij het Europees Hof.

Toevoeging 01/04/2022: Link naar uitstekend artikel van Privacy Across Borders met informatie over de exacte procedure om tot een finale tekst te komen na een principe-akkoord, en kleine aanvulling rond de Amerikaanse oplossing.