Data transfers naar de VS opnieuw op losse schroeven door FISA?

Wat was die FISA ook alweer precies?

FISA werd in 1978 ingevoerd in de Verenigde Staten om surveillance-activiteiten van de Amerikaanse overheid te reguleren. De wet regelt de manier waarop de Amerikaanse overheid elektronische communicatie van buitenlanders kan verzamelen. De facto geeft FISA aan Amerikaanse inlichtingendiensten zoals de NSA of de CIA bijzonder vergaande bevoegdheden om zonder veel beperkingen of zonder veel gerechtelijke controle systematisch alle dataverkeer vanuit het buitenland te monitoren en ook inhoudelijk te screenen.

FISA is in de Verenigde Staten controversieel vanwege de potentiële impact op de privacy van ook Amerikaanse burgers. Critici beweren dat de wet te veel bevoegdheden geeft aan de overheid en dat er onvoldoende controle is op het misbruik van deze bevoegdheden. Vanuit Europa is het grootste bezwaar dat FISA in haar basis onmogelijk te verenigen is met de basisrechten die Europese burgers genieten onder GDPR.  Dat laatste was genoeg reden voor het Europees Hof van Justitie om tot twee keer toe de kaderovereenkomsten die Europa met de VS afsloot, om de veilige uitwisseling van gegevens mogelijk te maken, met één pennentrek te vernietigen.

Het EU-US Data Privacy Framework

Heel wat technologiebedrijven zitten in de Verenigde Staten en er is bijgevolg heel wat data-export of export van persoonsgegevens van de EU naar de VS.  Omdat de privacywetgeving in de VS echter absoluut niet hetzelfde “adequate” niveau haalt als de strenge vereisten die GDPR in de EU vooropstelt, is de VS nooit op de korte lijst met “veilige landen” geplaatst door de EU.  

Om ervoor te zorgen dat Amerikaanse bedrijven toch handel konden blijven voeren met partners in de EU, bestond achtereenvolgens het Safe Harbour principe en het Privacy Shield.  Twee samenwerkingsprotocollen tussen de EU en de VS op basis waarvan Amerikaanse bedrijven geacht werden “veilig” en vertrouwelijk met Europese data om te gaan.

Alleen bleek tot twee keer toe in de Schrems I en Schrems II arresten van het Europees Hof van Justitie dat die veiligheid en vertrouwelijkheid een illusie waren.  Het Europees Hof besliste tot twee keer toe sinds 2015  -zeer terecht overigens- dat er in de VS geen sprake was van een beschermingsniveau dat gelijkwaardig is aan het beschermingsniveau dat bestaat binnen de EU. De reden daarvoor is en was de vergaande inmenging van Amerikaanse inlichtingendiensten, die systematisch en op grote schaal data monitoren uit bijvoorbeeld e-mails en cloudopslagdiensten op basis van bijvoorbeeld de Foreign Intelligence Surveillance Act (FISA), de CLOUD Act of Executive Order 12333. Het Hof verklaarde het Privacy Shield dan ook -terecht- ongeldig in 2020. 

In 2023 bereikten de Europese Commissie en de Amerikaanse overheid een akkoord over een nieuw framework dat toch opnieuw moest zorgen voor vrij dataverkeer van de EU naar de VS.  Dit nieuwe akkoord vertrok van een aantal garanties die door de VS gegeven werden:

• Europese persoonsgegevens mogen alleen verzameld worden als dat “nodig is om legitieme nationale veiligheidsdoelstellingen te verwezenlijken”, en “mag geen onevenredige impact hebben op de bescherming van de persoonlijke levenssfeer en burgerlijke vrijheden”.
• EU-burgers kunnen terecht bij een onafhankelijke Data Protection Review Court, die onafhankelijk werkt van de Amerikaanse overheid (althans op papier is dat zo).
• Amerikaanse inlichtingendiensten moeten procedures aannemen die zorgen voor een betere bescherming van privacy en burgerlijke vrijheden (ook die bestaan op heden vooral op papier en weinig in de praktijk).
• De mechanismen van het oude Privacy Shield bleven overeind: Amerikaanse bedrijven moeten zich aanmelden voor het Privacy Shield bij de Amerikaanse overheid en moeten aan een aantal minimumvereisten voldoen.  De Amerikaanse overheid houdt hierop toezicht en al wie op de lijst van “Privacy Shield erkende” bedrijven staat, mag Europese data verwerken.

De eerste politieke reacties waren weliswaar positief, maar tegelijk uitten heel wat juristen al meteen bedenkingen en ook privacy activisten als NOYB en Max Schrems reageerden onmiddellijk zeer kritisch. Max Schrems omschreef het “Privacy Shield 2.0” meteen als “lipstick on a pig“. We waren het vorig jaar al volmondig eens met Max Schrems.  Het voorgelegde “akkoord” oogde immers inderdaad zeer dunnetjes en getuigde ons inziens van weinig kennis van en respect voor het Europese recht en de werking van de Europese instellingen.  We konden ons toen al niet indenken dat dit nieuwe akkoord voorbij een grondige analyse door het Europees Hof van Justitie zou raken en met de recente goedkeuring van RISAA/FISA is onze twijfel nog veel groter geworden …

Wat staat er dan precies in die RISAA?

De “Reforming Intelligence and Security America Act” (RISAA) “hervormt” eigenlijk niets.  Ze verlengt de facto, zoals we al aangaven, de bestaande FISA regelgeving en geeft daarmee aan Amerikaanse inlichtingendiensten opnieuw toestemming voor massale surveillance programma’s op Europese (en andere niet-Amerikaanse) data.  Het gevolg hiervan is dat jouw en mijn e-mails systematisch gelezen kunnen worden door Amerikaanse veiligheidsdiensten. RISAA gaat nu zelfs een stap verder en creëert de mogelijkheid om een veel grotere groep bedrijven en organisaties te dwingen om te helpen bij deze systematische digitale surveillance. De zogenaamde “Sectie 702” van deze wet staat de regering toe om vanuit de Verenigde Staten systematisch toezicht te houden op de communicatie van buitenlanders, ook in het buitenland. Hiervoor worden aanbieders van telecommunicatiediensten (de Google’s en Meta’s van deze wereld, maar in se elk bedrijf dat persoonsgegevens verwerkt) gedwongen om hun medewerking te verlenen.

RISAA en voorheen FISA zijn ook in de VS zelf alles behalve populaire wetgevingen, omdat burgerrechtenorganisaties constant vrezen dat ook grote hoeveelheden data van Amerikaanse staatsburgers op deze manier mee onder de loep genomen worden en de goedkeuring van RISAA maakte dan ook redelijkerwijze heel wat negatieve reacties los.

Wat zijn de gevolgen voor bedrijven in de EU?

Wij gebruiken allemaal dagelijks Amerikaanse cloudoplossingen en als we dat in een bedrijfscontext doen, dan steunt het gebruik van die tools (denk aan Google Analytics, O365, Mailchimp, Cloudflare, Hotjar, Adobe, …) volledig op het nieuwe EU-US Data Privacy Framework.  Het wegvallen van de voorgangers van dit framework, met name Safe Harbour en Privacy Shield, hebben de voorbije jaren aangetoond dat een stabiel en zeker politiek akkoord dat de veiligheid van onze data in de VS garandeert onontbeerlijk is voor Europese bedrijven.

De goedkeuring van RISAA is om die reden opnieuw een grote stap achteruit voor de trans-Atlantische data-uitwisseling. De Europese Unie (EU) had al grote zorgen over de privacy-implicaties van FISA en de waarborgen die de Amerikaanse regering gegeven had voor het nieuwe Framework waren al erg dun, maar met deze nieuwe en nog verdergaande surveillance wet, staat data-uitwisseling met de VS in onze ogen opnieuw in één klap op losse schroeven.  Het is niet meer dan afwachten tot het EU-US Privacy Framework, het nieuwe akkoord dat de data-uitwisseling tussen de EU en de VS moet regelen, hierdoor opnieuw onder druk komt te staan. De strenge eisen van de GDPR maken het voor Amerikaanse bedrijven zo al erg moeilijk om te voldoen aan de Europese privacyregels, en FISA -of nu RISAA- maakt het er absoluut niet eenvoudiger op.

Bedrijven die data verwerken in Amerikaanse cloudtoepassingen lopen opnieuw een aanzienlijk risico. De kans is groot dat Europese data door Amerikaanse inlichtingendiensten worden verzameld en geanalyseerd, zonder adequate waarborgen voor privacy en rechtsbescherming.  Als gevolg daarvan dreigt op een gegeven ogenblik ook het huidige EU-US Data Privacy Framework onderuit gehaald te worden door het Europees Hof voor Justitie, waardoor het gebruik van elke Amerikaanse cloud oplossing opnieuw een issue wordt.

Wat kan je dan als Europees bedrijf doen?

De richtlijnen die we kunnen meegeven blijven dezelfde als voorheen:

• Inventariseer alle data transfers in je bedrijf
• Zorg voor een goede vendor assessment flow om de conformiteit van je partners correct in, te schatten
• Zorg voor een white list en een black list van tools binnen je bedrijf
• Zorg voor verwerkersovereenkomsten met alle suppliers en voeg Standard Contract Clauses toe bij data export naar landen die geen adequaatheid besluit hebben (zeker ook naar de VS, gelet op de precaire situatie van het Data Privacy Framework)
• Kies voor Europese alternatieven waar mogelijk. Er zijn tal van Europese cloud providers die voldoen aan de strenge eisen van de GDPR. 
• Voer tijdig een Data Transfer Impact Assessment uit om de veiligheid van je gegevens buiten de EU in te schatten en vraag waar nodig extra waarborgen van de leverancier waar je mee wil samenwerken.
• Zorg zelf voor extra veiligheid door data te minimaliseren, door data niet langer te bewaren dan nodig en door data te versleutelen bij eventuele data export buiten de EU.