De activist die voor de Europese privacy vecht

Ik sprak met Max Schrems, voordat hij zijn presentatie bij 32c3 gaf.
4.1.16
Beeld: Kingarion/Shutterstock

Afgelopen oktober oordeelde het Europees Gerechtshof dat de Safe Harbour Agreement, een overeenkomst tussen de Europese Unie en de Verenigde Staten die het verplaatsen van persoonsgegevens tussen de twee landen toestaat, niet rechtsgeldig was. Met dit akkoord, dat ooit bedacht werd door president Clinton en de Europese Commissie, mochten Amerikaanse internetbedrijven jarenlang zichzelf controleren of zij wel voldeden aan de Europese regels voor de bescherming van persoonsgegevens. Het Europees Gerechtshof vond dat er binnen de overeenkomst te weinig manieren waren voor Europese burgers om schadevergoedingen te eisen wanneer bedrijven de boel aan het flessen waren.

Deze uitspraak hebben we voornamelijk te danken aan de Oostenrijkse privacy-activist Max Schrems. Hij diende in 2013 een klacht in bij Ierse privacywaakhond, omdat hij bang was dat data van Facebook uiteindelijk in de handen van de NSA zou kunnen vallen. De Ierse overheid beriep zich op de Safe Harbour Agreement, waarop Schrems de zaak aanhangig maakte bij het Europees Gerechtshof. Dit besloot het hele akkoord in de prullenbak te gooien.

Tijdens het Chaos Communication Congress, een conferentie over kunst, politiek en beveiliging in Hamburg, kreeg ik de kans om met Schrems te praten. Ik had het met hem over de gevolgen van de uitspraak en wat het betekent voor Europese burgers.

Hoewel de Amerikaanse overheid beweert dat de uitspraak "de florerende trans-Atlantische digitale economie onder druk zet," lijken de grote internet bedrijven zoals Facebook, Microsoft en Google er nauwelijks last van te hebben.

"Iedereen probeert de ander de schuld te geven"

"Het grote probleem is dat veel internetbedrijven, net als banken, too big to fail zijn," aldus Schrems.

"Eigenlijk wisten de grote bedrijven al lang dat Safe Harbour geen duurzame oplossing was. Daarom hadden ze een tweede manier om persoonsgegevens van de EU naar de VS te verplaatsen," legt hij uit. Ten tijde van de uitspraak van het Europees Gerechtshof zei een woordvoerder van Facebook inderdaad dat "Facebook, net als duizenden andere Europese bedrijven, verschillende manieren hebben om legaal persoonsgegevens van de EU naar de VS te verplaatsen."

Op dit moment proberen de EU en de VS samen een oplossing te bedenken voor het juridische gat dat Safe Harbour heeft achtergelaten.

Iedereen probeert de ander de schuld te geven. Iedereen zegt 'wij willen heel erg graag een oplossing vinden,' maar de andere kant van de tafel wil dat net zo goed," zegt Schrems.

"De VS vinden het Europees Gerechtshof een belachelijke rechtbank die het internet aan het verpesten is, terwijl zij juist degenen zijn die het internet verpesten door volledige controle te willen over de hele wereld. Voor hun is Silicon Valley een instrument om dat voor elkaar te krijgen."

Schrems besloot zijn klacht in te dienen nadat hij, net als de hele wereld, dankzij Edward Snowden te weten kwam dat de NSA met PRISM direct toegang had tot de servers van Google, Apple, Facebook en vele andere bedrijven. Hij diende bij verschillende nationale privacywaakhonden klachten in.

"Veel politici schreven boze brieven en we wisten allemaal dat dit een taak voor de media was. Dat zij deze zaak moesten uitzoeken en dat we allemaal eigenlijk wel wisten dat de meeste Europese landen vergelijkbare programma's hadden."

Toch denkt Schrems dat de manier waarop mensen denken over hun privacy aan het veranderen is

Hoe belangrijk het oordeel van het Europees gerechtshof ook was, heeft Schrems toch het gevoel dat de media de rechtszaak rondom Safe Harbour een beetje hebben opgeblazen. Misschien ging de aandacht iets te veel naar hem persoonlijk en iets te weinig naar het grote geheel.

"Het is ook een mediageniek verhaal. Er is een jong studentje die in zijn eentje tegen de grote multinationals vecht," zegt hij. Hij had liever gezien dat er meer aandacht was voor privacyschendingen in het algemeen dan voor hem als individu; sommige journalisten hadden klaarblijkelijk interesse om meer over zijn persoonlijke leven te weten te komen. Als een privacy-activist vindt hij dat raar.

De gevolgen van de uitspraak zullen niet voor iedere internetgebruiker direct duidelijk zijn.

"Ik denk niet dat je een verschil op je beeldscherm zal zien. En dat is het grote probleem bij databeveiliging: de belangrijkste dingen zie je helemaal niet," aldus Schrems.

Toch denkt Schrems dat de manier waarop mensen denken over hun privacy aan het veranderen is, net als dat mensen steeds meer geïnteresseerd zijn om te weten waar hun data wordt opgeslagen.

"Waarschijnlijk zullen mensen er niet meer mee akkoord gaan dat hun data in 'de cloud' staat, zonder dat zij weten waar die cloud precies is," zegt hij.

Er er gaat waarschijnlijk nog meer gebeuren. Enkele maanden geleden diende Schrems nieuwe klachten in Ierland, België en Duitsland in, waarmee hij vraag dat de data-overdracht van Facebook onder de loep wordt genomen en wordt opgeschort. Waarschijnlijk maken Amerikaanse bedrijven nu gebruik van contractuele overeenkomsten om om persoonsgegevens legaal te mogen verplaatsen. Hierdoor kan de data van Europese burgers nog steeds gebruikt worden voor massasurveillance.

Schrems onderneemt deze stappen om ervoor te zorgen dat de uitspraak van het Europees Gerechtshof "ook in de praktijk wordt toegepast als het gaat om bedrijven die onderdeel zijn van de Amerikaanse massasurveillance," zo schrijft hij in de klacht. "Het Hof was op dit punt heel erg duidelijk."