29 november 2010

Er wordt door Amerikaanse bedrijven al jarenlang grootschalige fraude gepleegd met het Safe Harbor-keurmerk. De federale overheid in Washington controleert niet en de Europese Commissie laat het op zijn beloop. Bovendien wordt een uiterst kritisch rapport over de fraudepraktijken al maanden achtergehouden. Alleen als Amerikaanse bedrijven Safe Harbor gecertificeerd zijn mogen ze privégegevens van Europese consumenten verwerken en opslaan. Het gaat om zeven principes, waaronder ‘ondubbelzinnige toestemming’ van en een opt-out mogelijkheid voor betrokkenen, passende databeveiliging, duidelijk omschreven handhaving en correcte klachtafhandeling. Mail- en chatdiensten, sociale netwerken, cloudproviders, ze moeten allemaal aan de eisen voldoen, anders mogen ze helemaal niet met privédata aan de slag. Ruim 2000 Amerikaanse firma’s zijn gecertificeerd, waaronder uiteraard giganten als Microsoft, Facebook, Google. Met de antiterreurwet Patriot Act in de hand kan de Amerikaanse overheid deze data overigens alsnog vorderen. Vandaar dat Eurocommissaris Neelie Kroes, maar ook het het Amerikaanse adviesbureau Forrester waarschuwen voor de risico’s van het laten opslaan van data in de VS.

De regels rondom Safe Harbor zijn zo zacht als boter en is er is totaal geen toezicht. Het fundamentele probleem zit bij het Amerikaanse Ministerie van Handel, dat de lijst met Safe Harbor-bedrijven ‘beheert’. Van echt beheer is geen sprake, want de bedrijven certificeren én controleren zichzelf. Het departement meldt het volgende: ‘In maintaining the list, the Department of Commerce does not assess and makes no representations to the adequacy of any organization’s privacy policy or its adherence to that policy. Furthermore, the Department of Commerce does not guarantee the accuracy of the list and assumes no liability for the erroneous inclusion, misidentification, omission, or deletion of any organization, or any other action related to the maintenance of the list’. Gevolg: een chaos, waarbij het keurmerk structureel wordt misbruikt. Zo claimen honderden Amerikaanse firma’s dat ze gecertificeerd zijn, zonder dat ze aan de voorwaarden voldoen. Uit evaluaties van de EU in 2002 en 2004 bleek het systeem al niet te werken. Vier jaar later, in 2008, was er niets verbeterd en kwam het onafhankelijke onderzoeks- en adviesbureau Galexia in een rapport tot een vernietigend oordeel. Van de 1,597 organisaties op de Safe Harbor-lijst voldeden er slechts 348 enigszins aan alle zeven principes. Bovendien bleken honderden Amerikaanse bedrijven een Safe Harbor-keurmerk op hun site te voeren, terwijl ze niet eens lid waren. Het rapport van het Australische onderzoeksbureau Galexia is een grote waslijst van fouten, misstanden, gesjoemel en fraude. In juli van dit jaar presenteerde Galexia-directeur Chris Connolly de resultaten van een vervolgonderzoek. 2170 Amerikaanse bedrijven claimen inmiddels het Safe Harbor certificaat te hebben. Maar 388 daarvan bleken niet eens geregistreerd bij het Ministerie van Handel, en van 181 was het certificaat verlopen. Maar liefst 940 bedrijven maken helemaal niet duidelijk hoe zij de Safe Harbor-principes handhaven en de gevoelige data van Europeanen beschermen. 314 firma’s hanteerden – tegen de principes in – klachtenprocedures die de klager op enorme kosten jagen, al snel duizenden euro’s. Deze cijfers komen van het Datenschutzzentrum Schleswig-Holstein, de onafhankelijke privacytoezichthouder van die Duitse deelstaat. Die deed verslag van de presentatie van Connolly. Het Datenschutzzentrum wacht echter al maanden op publicatie van het onderzoeksrapport. Een woordvoerder van Galexia laat weten dat het rapport nog niet is verschenen, omdat de uitkomsten nogal schokkend zijn en dat sommige partijen hier niet blij mee zijn. ‘Als je die bevindingen en conclusies leest, dan ben ik wel geschokt. Dit is vrij heftig. In de afgelopen tien jaar is er blijkbaar weinig verbeterd’, stelt Leo van der Wees, onderzoeker bij het Tilburg Institute for Law, Technology and Society van de Universiteit van Tilburg. ‘Alle reden om te zeggen, die Safe Harbor is leuk, maar wij komen wel eens terug als het goed geregeld is. En áls je dan toch in zee gaat met een partij die dat keurmerk voert, neem dan vooral niet zomaar aan dat het in orde is’.