Noorwegen wil einde aan illegale dataoverdracht Meta

Noorwegen draait Meta duimschroeven aan op het gebied van diens privacyregels. Het Amerikaanse bedrijf zou een boete moeten krijgen voor illegale dataoverdracht van persoonsgegevens, vindt de toezichthouder.

In een brief aan zijn collega-toezichthouders zegt de privacywaakhond Datatilsynet van Noorwegen dat Meta een sanctie moet krijgen.

De hoogste Europese rechter bepaalde in 2020 dat het zogeheten Privacy Shield niet rechtsgeldig was. Tot dat moment gebruikten Amerika en Europa dat juridische vangnet om te veiligheid van persoonlijke gegevens an Europeanen te waarborgen. Dat construct bleek niet geldig. Politic uit Europa en de VS moeten dus om tafel voor nieuwe afspraken om de dataveiligheid van Europese burgers beter te beveiligen. Dat proces loopt, als het al loopt, stroef en leidt zeker op korte termijn nergens toe.

Net als veel andere Amerikaanse bedrijven gebruikt het moederbedrijf van Facebook en Instagram daarom een bepaald juridisch vehikel om persoonlijke data van Europeanen wel te kunnen en mogen verwerken. Dit zijn de zogeheten standard contractual clauses (SCC’s).

Politico achterhaalde de brief van de Noorse toezichthouder en ziet dat Meta die clausules niet correct toepast. Eigenlijk moet de dataoverdracht vanuit Europa naar Amerika dan direct stoppen, maar dat gebeurt niet. Vandaar de oproep tot een boete die Meta moet dwingen tot verandering.

Jurist Arnoud Engelfriet legde in 2020 uit: “Het Hof van Justitie zegt nu dat die [SCC-, red.] constructie nog wél geldig is. Die is immers bedoeld voor situaties waarin de buitenlandse partij ergens zit waar ze rare dingen doen met persoonsgegevens. Dus dan is het prima als je samen keiharde afspraken maakt waarmee je die rare dingen buiten de deur houdt. Afdwingbaar, met boetes en rechtszaken. Dat kan gewoon. Daarom zegt het Hof, prima om naar Amerika met SCC te werken.”

“Alleen en nu komt ie: die afspraken moet je dan wel daadwerkelijk handhaven. Zo moet de Amerikaanse partij je bijvoorbeeld informeren over rare praktijken of wetten die botsen met Europese rechten.”

De Amerikaanse overheid heeft via de Cloud Act inzage in alle data die op clouds zijn opgeslagen van bedrijven met een Amerikaans moederbedrijf. Ook als die bedrijven vanuit Europese bv’s werken en data op Europese servers opslaan. Onder bedrijfsgegevens kan ook data van burgers vallen bij Amazon, Google en Microsoft. Eerder deze maand werd dit nog eens onomwonden door een Amerikaans advocatenkantoor aan de Nederlandse overheid bevestigd.

Een Duitse rechter bepaalde onlangs dat een bedrijf niet mocht meedoen aan een publieke aanbesteding, omdat het met een Amerikaanse cloud werkt. Dus niet privacyveilig, was de conclusie. Juristen zetten nu enthousiast hun tanden in de casus omdat deze de grenzen aftast van grotendeels nog onbekend terrein. Er is amper jurisprudentie.

Foto: michael_swan (cc)