Rewind: Het jaar waarin de privacy won

Hij kreeg er in Nederland de Felipe Rodriguez Award voor: Max Schrems. De Oostenrijkse student die afgelopen jaar het Safe Harbor verdrag sloopte. Een overwinning met vergaande gevolgen.

Facebook kreeg in Europa het afgelopen jaar een flink pak slaag. Op allerlei terrein. Zo besliste een Belgische rechter dat Facebook niet-leden die wel eens een Facebook bedrijfspagina bekijken niet langer mag volgen met cookies. Dat vond Facebook maar onzin. Deze zogenoemde ‘datr cookies’ waren volgens het bedrijf noodzakelijk voor de beveiliging van het netwerk. Bovendien vond Facebook dat de Belgen helemaal niets te beslissen hadden over een onderneming die zijn Europese hoofdzetel  in Dublin had. Facebook heeft hoger beroep aangekondigd, maar heeft het netwerk inmiddels al wel afgesloten voor ‘onbevoegden’.

Maar dan Max Schrems: die kreeg Facebook pas echt op de knieën. De Oostenrijker werd geïnspireerd door Edward Snowden. Deze Amerikaanse klokkenluider had in 2013 aangetoond dat in de VS geen passend beschermingsniveau wordt geboden voor persoonsgegevens tegen staatstoezicht door Amerikaanse inlichtingendiensten. Schrems wilde daarom niet dat Facebook-gegevens op Amerikaanse servers komen te staan.

Eerst kaartte Schrems (28) de zaak aan bij de Ierse rechter omdat Facebook zijn Europese data in Ierland vastlegt. Maar die verwees naar de zogenoemde Safe Harbor afspraken. Daarmee konden Amerikaanse internetbedrijven data zonder veel problemen op Amerikaanse servers zetten. Schrems zocht het hogerop bij het Europees Hof dat een streep door Safe Harbor zette.

Amerikaanse bedrijven zullen gegevens van Europese burgers nu lokaal moeten opslaan. De Europese Commissie en de VS hebben inmiddels al wel een aangepaste versie van de Safe Harbor-overeenkomst opgesteld, die de privacy van Europese burgers beter moet waarborgen, maar de gevolgen blijven ingrijpend.

De Amerikaanse overheid heeft het vonnis over zichzelf uitgeroepen door hun massasurveillancepraktijken en hun onvermogen om de privacy van Europese burger te beschermen, stelde burgerrechtenorganisatie Bits of Freedom vast. ‘Vervolgens boos kijken naar Europa als Europa besluit om haar burgers te beschermen, vinden we nogal hypocriet.’

Schrems is nog lang niet klaar. Hij heeft inmiddels weer nieuwe klachten ingediend tegen Facebook bij autoriteiten in Ierland, België en Oostenrijk. Dit keer wil hij dat al het dataverkeer van het Europese hoofdkantoor van Facebook in Ierland naar de Verenigde Staten wordt gestaakt.

Ook wil hij 500 euro compensatie voor privacyschendingen namens 25.000 klagers. Schrems mag deze gezamenlijke rechtszaak tegen Facebook over privacy alsnog voorleggen aan het Hooggerechtshof in Oostenrijk. Het komende jaar kan dus veel juridisch vuurwerk worden verwacht.

Los van deze rechtszaken hebben het Europees Parlement, de Europese Commissie en de EU-lidstaten half december overeenstemming bereikt over een nieuwe Europese privacywet. Onder dit voorlopige akkoord kunnen bedrijven voor het overtreden van de privacyregels een boete van maximaal 4 procent van de jaaromzet tegemoet zien. Ook moeten bedrijven datalekken waarbij privégegevens op straat komen te liggen binnen 72 uur melden.

Vanaf 1 januari gelden in Nederland al strengere privacyregels. Privacywaakhond CBP kan dan hogere boetes opleggen als bedrijven datalekken niet melden.

Een mooi jaar dus voor de privacy? Niet helemaal. De politie krijgt in het een dezer dagen verstuurde hackvoorstel van minister Van der Steur verregaande bevoegdheden om computers, iPads of smartphones te hacken, en niet alleen te kijken wat de gebruiker uitspookt, maar ook om de camera aan te zetten, of de microfoon of de GPS.

Bits of Freedom oordeelt: ‘We maken ons grote zorgen over de grote risico´s voor de digitale veiligheid van burgers. Stel je voor, via een achterdeur in Outlook kan de politie bij een verdachte binnenkomen, die wil dat die deur nog even open blijft staan. Maar dat betekent dat alle andere mensen die ook Outlook gebruiken onveilig zijn voor criminelen. Het hackvoorstel heeft dus een averechtse werking op de cyberveiligheid.’