Hallo kinders, it’s been a while. Vandaag in dingen die me opfokken: privacywetgeving. Nooit in m’n leven lang niet gedacht dat ik daar iets van zou gaan vinden, maar dat is wat m’n werk met me doet. Fun.
Ja, dit gaat een stukje technische tekst zijn, met een hele hoop verwijzingen naar Dingen en Zaken. Ik doe m’n best het zo duidelijk mogelijk te maken.
Anyhow, eerst maar even wat terminologie.
Hof van Justitie (EU): De hoogste rechtelijke instelling van de EU. They have some power. Hun grote taak is zorgen dat het recht in de Europese Unie hetzelfde is voor iedereen, onder alle omstandigheden. Voor meer informatie: lees deze erg saaie Wikipedia-pagina.
Privacy Shield: Het EU-US Privacy Shield was een overeenkomst over de bescherming van persoonsgegevens van EU-burgers, die in de VS werden verwerkt. Het eerdergenoemde Hof van Justitie heeft het hele ding ongeldig verklaard in juli 2020, want het was niet AVG-compliant.
Privacy Shield 2.0: Trans-Atlantic Data Privacy Framework (EU-U.S. DPF).
FISA: The United States Foreign Intelligence Surveillance Court. Zij die graag all up in your business zitten. Houdt toezicht op verzoeken om surveillancebevelen tegen buitenlandse spionnen in de Verenigde Staten door federale handhavings- en inlichtingendiensten.
Microsoft: Zij van Windows. Big tech. Hebben kennelijk niet genoeg macht om de Amerikaanse overheid te weerstaan. Mietjes.
Twee jaar geleden heeft het Europese Hof van Justitie het O.G. Privacy Shield ongeldig verklaard. Dat was een goed iets, want hij bood níet de bescherming die onze eigen AVG vereist. Meer details? Amerikaanse inlichtingendiensten (zoals de NSA) mochten onder het Privacy Shield lekker data opvragen bij Amerikaanse bedrijven van alles en iedereen buiten de VS, zonder bevelschrift. Da’s dus niet OK.
Sindsdien doen Europese bedrijven er alles aan om te doen alsof ze die uitspraak accepteren, zonder eigenlijk iets te veranderen aan de manier waarop ze Amerikaanse internetdiensten gebruiken. Het (foute) idee lijkt te zijn dat als je een Amerikaanse provider maar zover krijgt zijn gegevens op servers in de EU te zetten, er aan de AVG wordt voldaan. Of, als ze een kléin beetje extra willen zijn, said servers ‘eigendom’ van een Europese dochteronderneming te maken. Echter edoch, niets van dit alles zorgt ervoor dat er voldaan wordt aan de wetgeving, want who are we kidding, de Amerikaanse overheid kan écht wel bij je data.
Stel, je bent een Europees bedrijf, en je laat je email hosten door Microsoft (want: lekker makkelijk), dan boeit het de FISA écht niet dat jouw fysieke data op een server in Europa staat. De FISA wil alleen maar weten of ze Microsoft kunnen dwingen toegang te geven tot jouw data (spoiler alert: they can).
Waarom? Simpelweg omdat Microsoft een Amerikaans bedrijf is. Als de FISA die data wil, dan krijgen ze die.
Het is eigenlijk gewoon onmogelijk voor Amerikaanse bedrijven om privacy en databescherming te garanderen aan Europese bedrijven, omdat ze zich te houden hebben aan de Amerikaanse wetgeving. En natuurlijk is het super logisch dat Europese bedrijven het ongeldig-verklaren van het Privacy Shield een beetje negeren, want als ze zich daaraan zouden houden, zou het min of meer betekenen dat ze géén gebruik meer kunnen maken van Amerikaanse internetdiensten, en da’s behoorlijk funest voor de handel(srelaties). Staan voor je principes is leuk en aardig, maar geld moet rollen, anders hadden ze het niet rond gemaakt.
Afijn! Terug naar 2022. Privacy Shield 2.0. Nu, nieuw en verbeterd! #sarcasme.
Deze nieuwe, hippere versie, belooft super plechtig dat de Europese privacyregels worden gevolgd, maar geeft vervolgens zo veel uitzonderingen aan de Amerikaanse inlichtingendiensten dat er eigenlijk weer niets verandert. Het Hof van Justitie zal hier ongetwijfeld ook weer meningen over hebben, maar het rechtssysteem is traag, dus voor de eerstkomende paar jaar zullen we het hiermee moeten doen. In Europa kunnen we dus lekker gebruik blijven maken van Amerikaanse diensten, en de massasurveillance duurt voort. Hoezee.
Concluderend: we’re fucked. Amerikaanse bedrijven kunnen nooit ontsnappen aan de eisen van Amerikaanse inlichtingendiensten, of hun servers (data) nu in Europa of de Verenigde Staten staan. Als Europeanen waarde hechten aan hun privacy zouden ze moeten stoppen met het gebruiken van Amerikaanse diensten, ondanks de financiële implicaties daarvan. Gaat niet gebeuren, dus basically doe je er goed aan het hele gebeuren te negeren. Jammer dat ik dat niet meer kan.