Met 1,55 miljard gebruikers is Facebook een van de machtigste bedrijven ter wereld. Dat houdt de Oostenrijker Max Schrems niet tegen om de sociaalnetwerksite voor het Europees Hof van Justitie te dagen. Aan de vooravond van een privacyconferentie in Brussel geeft hij een stand van zaken. ‘Er zullen nog heel wat rechtszaken nodig zijn om te weten te komen waar de nieuwe Europese wetgeving voor staat.’
Uitgerekend in Silicon Valley kreeg Max Schrems (28), een doctoraalstudent in de rechten, het idee om het privacybeleid van Facebook onder de loep te nemen. Hij woonde er een presentatie bij van een privacyspecialist van Facebook, en vond dat die zich laatdunkend uitliet over de Europese bescherming van persoonsgegevens. Daarop vroeg Schrems als allereerste Facebookgebruiker ooit alle data op die het bedrijf over hem bijhield. Het was het begin van een strijd met David tegen Goliath-allures.
Met zijn project Lobbyplag ontdekte Schrems in 2013 dat sommige Europarlementsleden, onder wie Louis Michel (MR), amendementen hadden ingediend om de Europese privacywetgeving te verzwakken. Nadat de klokkenluider Edward Snowden had onthuld dat de Amerikaanse geheime dienst NSA toegang heeft tot gegevens van sommige Amerikaanse technologiebedrijven diende Schrems bij een Weense rechtbank een groepsvordering in tegen Facebook. En omdat Ierland het Europese hoofdkwartier van Facebook huisvest, diende hij ook een klacht in bij de Ierse privacycommissie. Dat leidde tot een arrest van het Europees Hof van Justitie, dat de bestaande afspraken tussen Europa en de Verenigde Staten over gegevensoverdracht onwettig verklaarde.
Facebook heeft de voorbije jaren stappen vooruit gezet op het vlak van privacybescherming. Wat is vandaag zijn grootste privacyprobleem?
MAXSCHREMS: Facebook heeft inderdaad minimale toegevingen gedaan. Het heeft bijvoorbeeld automatische gezichtsherkenning uitgeschakeld. Het zegt dat het nu een beter privacybeleid heeft, maar eigenlijk staat daar nog hetzelfde in als voorheen. De verwoording is misschien wat aangepast, maar het komt er nog altijd op neer dat Facebook met je gegevens kan doen wat het wil. Het bedrijf houdt gegevens over jou bij die je niet eens met Facebook hebt gedeeld. Het haalt die informatie bij andere bronnen, bijvoorbeeld bij andere Facebook-gebruikers of databedrijven. Door je telefoon en je onlinegedrag te traceren, en door te weten wat je vrienden doen, weet het ook wat jij doet.
De voorbije jaren hebben wij ons toegelegd op enkele specifieke knoppen en functies van Facebook, die volgens ons niet in overeenstemming waren met de wet. Maar zonder twijfel zijn er duizenden functies die gewoon niemand kent, en die hoogstwaarschijnlijk ook de wet overtreden, maar je kunt er niet over praten als je het niet kunt bewijzen.
De Safe Harbourprincipes regelen sinds 2000 hoe bedrijven in Europa en de VS moeten omgaan met de trans-Atlantische overdracht van persoonsgegevens. Maar volgens het Europees Hof van Justitie beschermt het akkoord de privacy van Europese burgers onvoldoende. Wat nu?
SCHREMS: De EU en de VS proberen een nieuwe Safe Harbour te creëren. Voor kleine bedrijven die niets te maken hebben met massasurveillance zullen ze wel een oplossing vinden. Maar voor bedrijven die links hebben met de NSA komt er geen oplossing. De VS zullen hun wetgeving niet veranderen omdat de veiligheidssector dat niet wil, punt uit. We zitten dus in een impasse, en ik zie geen uitweg.
De Europese Commissie wil tegen eind januari een nieuwe overeenkomst met de VS.
SCHREMS: Geen van beide heeft manoeuvreerruimte. De ene partij hangt vast aan het arrest van een rechtbank, de andere aan de nationale veiligheidsdiensten. Iedereen doet nu zijn best om achteraf niet de schuld te krijgen dat ze het niet hebben geprobeerd.
Op de Brusselse privacyconferentie gaat u in debat met de Amerikaanse professor Peter Swire, een gewezen adviseur van Barack Obama. Hij vindt dat het Europees Hof de Amerikaanse wetgeving niet heeft begrepen.
SCHREMS: Zijn punt komt erop neer dat Europa moet zwijgen. In een recente paper argumenteert Swire dat de VS wel degelijk de privacy beschermen, maar hij vergeet te vermelden dat die bescherming niet geldt voor Europese burgers.
Midden december bereikte Europa een consensus over gegevensbescherming. Een stap in de goede richting?
SCHREMS: Er zijn niet echt veel nieuwe elementen bijgekomen – wel nieuw is het recht om op het internet ‘vergeten’ te worden. Veel paragrafen zijn uit het ontwerp geschrapt, of werden op zo’n diplomatieke manier verwoord dat niemand nog begrijpt wat ze betekenen. Lobbywerk, jazeker. Het zal moeilijk worden voor bedrijven om zich aan de nieuwe Europese privacyregels te houden, én voor overheden om ze af te dwingen. Waarschijnlijk zullen er nog heel wat rechtszaken nodig zijn om uiteindelijk te weten te komen waar die nieuwe Europese wetgeving voor staat.
Europa kan voortaan flinke boetes opleggen aan bedrijven die de privacywetgeving niet respecteren.
SCHREMS: Klopt, er komen zware straffen voor inbreuken, en dat misten we in Europa. We hadden wel wetten, maar we dwongen ze niet af. Bedrijven die in de fout gaan, kunnen beboet worden voor een bedrag tot 4 procent van hun wereldwijde inkomsten. Dé grote vraag is of landen die boetes uiteindelijk ook zullen opleggen, want in de overeenkomst staat dat ze dat mogen doen. Het zou kunnen dat landen zoals Ierland en Luxemburg, waar veel van die bedrijven gevestigd zijn, beslissen om de boetes niet te innen.
Met uw groepsvordering met 25.000 andere Facebookgebruikers eist u een schadevergoeding wegens ‘misbruik van persoonlijke data’. Hoe staat het met die zaak?
SCHREMS: De rechtbank van eerste aanleg verklaarde zich onbevoegd, de tweede instantie stelde dat ik als consument Facebook wel degelijk kon vervolgen in Wenen, al was het nog de vraag of dat kon in een groepsvordering. Daarover buigt het hoogste gerechtshof zich nu. Het kan de zaak voorleggen aan het Europees Hof van Justitie, of mij naar een lagere rechtbank verwijzen.
Hebt u nog plannen voor nieuwe rechtszaken?
SCHREMS: Na het arrest van het Europees Hof van Justitie is het aan de privacycommissies van de individuele EU-lidstaten om actie te ondernemen. Eerst keken ze de kat uit de boom – ‘Zolang hier geen klacht binnenloopt, hoeven we ons nergens zorgen om te maken’ -, maar intussen zijn de Belgische, Franse en Duitse commissies de strijd aangegaan. Los van de klachten tegen Facebook bekijken we hoe we soortgelijke klachten kunnen indienen tegen bedrijven zoals Microsoft en Google. We bestuderen of België een optie is om zo’n zaak te starten.
De terreurdreiging in Europa is reëel. Moeten we niet wat privacy opgeven in ruil voor meer veiligheid?
SCHREMS: Dat doen we al. De meeste privacy-activisten die ik ken, zijn het er trouwens mee eens dat bijvoorbeeld telefoons aftappen mogelijk moet zijn als er een terreurdreiging is. De vraag is hoe. Door iedereen in de gaten te houden, of door gericht te werken? Na de Parijse aanslagen werd het Europees Verdrag voor de Rechten van de Mens zowat opzijgeschoven. Door zo te reageren, moedigen we terrorisme net aan. Als je een geweer hebt en je schiet in een café lukraak mensen neer, kun je een land platleggen.
Het Europees Parlement debatteerde in december over het Passagiersnamenregister (opslag van passagiersgegevens van vluchten van, naar en tussen Europese landen, nvdr). Maar de aanslagen in Parijs hadden toch niets te maken met luchtvaartpassagiers? De terroristen gebruikten huurauto’s om in Frankrijk te raken. Vluchten traceren heeft weinig zin, want voor verbindingen binnen Europa hoef je zelfs je paspoort niet te tonen om aan boord te mogen.
Tot slot: gebruikt u Facebook nog?
SCHREMS: Ja. Als je actief wilt zijn op sociale netwerken móét je wel facebooken, je hebt geen keus. Oké, je kunt wel terecht op Diaspora (een non-profit sociaal netwerk, nvdr.), maar dan post je foto’s voor jezelf en jij bent de enige die je foto’s zal liken. (lacht) Sommigen zeggen dat je moet kiezen tussen alles afsluiten – Facebook, Skype enzovoort – of je privacy verliezen. Dan zeg ik: waarom zou ik mijn vrijheid moeten beperken omdat een paar bedrijven de wet niet respecteren?
Conferentie Computers, Privacy & Data Protection, 27-29/01, Hallen van Schaarbeek, Brussel. Schrems spreekt op 26/01 op het ‘pre-conference event’. Info: www.cpdpconferences.org
DOOR KRISTOF CLERIX
‘Waarom zou ik mijn vrijheid moeten beperken omdat een paar bedrijven de wet niet respecteren?’
