9 januari 2007 15:37

Privacywaakhond schuift Amerikaans bevelschrift terzijde

Eind juni berichtten enkele Amerikaanse kranten dat het Belgische betalingsnetwerk Swift in het kader van het Amerikaanse anti-terrorismeprogramma al sinds 2001 systematisch financiële gegevens doorsluist aan de Amerikaanse geheime diensten. Nadat de Belgische en Europese politici moord en brand hadden geschreeuwd over deze massale privacyinbreuken en de toezichthoudende centrale banken hun onschuld volhielden op basis van het bankgeheim, leek de stilte even wedergekeerd. Tot eind november de Europese privacytoezichthouder in een omvangrijk rapport Swift in scherpe bewoordingen veroordeelde.

Het Europese privacyadviesorgaan, de zogenaamde ‘Article 29 Working Party’, geeft in niet mis te verstane woorden een opsomming van de vele inbreuken die door Swift werden begaan door miljarden financiële transacties over te maken. De Working Party gaat daarbij nog verder dan de Belgische Privacycommissie, die er nog rekening mee hield dat Swift als het ware geklemd zat tussen de Europese privacywetgeving en de dwingende Amerikaanse bevelschriften.

Volgens de Working Party vormt geen enkel bevelschrift van een niet-Europese overheid een vrijbrief voor de schending van de Europese privacywetgeving. Swift had bij het ontvangen van de Amerikaanse bevelschriften immers de Belgische overheid en de Belgische Privacycommissie moeten inlichten, zodat gezamenlijk een oplossing kon worden gezocht in overeenstemming met de internationale verdragen.

Door jarenlang in het geheim samen te werken met de Amerikaanse overheid, heeft Swift verhinderd dat de Belgische privacytoezichthouder zijn werk kon doen, zodat de privacywetgeving flagrant werd geschonden. De Working Party stelt zelfs dat het enkele feit om een datacentrum te installeren buiten de EU in de kiem een schending van de privacywetgeving uitmaakt, omdat kan verwacht worden dat de buitenlandse overheid op een bepaald ogenblik om toegang zal verzoeken.

Swift leek nochtans de kwaadste niet en had onderhandeld met de Amerikaanse overheid om de omvang van de datatransfers zoveel mogelijk te beperken. Zo werd een intermediaire ‘black box’ geïnstalleerd die verhinderde dat rechtstreekse en onbeperkte toegang moest worden gegeven tot het Swift netwerk, en konden twee werknemers van Swift op elk moment controleren welke zoekopdrachten werden ondernomen. Bovendien werd het hele systeem gecontroleerd door een door Swift aangestelde externe auditor.

Dergelijke garanties volstaan echter niet voor de Working Party. Naast het feit dat de Working Party de dwingende buitenlandse wetgeving terzijde legt en voorrang geeft aan de Europese privacywetgeving, is het opmerkelijk dat Swift en de bijna 8.000 banken die van het Swift netwerk gebruik maken, samen aansprakelijk worden gesteld voor de privacyinbreuken. De meeste van die banken hadden nochtans geen kennis van de Amerikaanse bevelschriften en datatransfers ondernomen door Swift. Maar omdat zij vrijwillig gebruik maken van Swift om hun bancaire transacties te verrichten, zijn zij volgens de Working Party mede verantwoordelijk. Ze hadden met andere woorden maar een betere dienstverlener moeten uitkiezen.

De Working Party beklemtoont zo dat het menens is met de Europese privacywetgeving, en dat de bescherming van de Europese burger niet zomaar terzijde kan worden geschoven. Ook niet door een multinational en zelfs niet wanneer een buitenlandse overheid daar via bevelschriften op aandringt. De multinationals zijn dus gewaarschuwd.

Patrick Van Eecke is advocaat gespecialiseerd in IT-recht bij DLA Piper. Hij doceert tevens IT-recht aan Queen Mary University, London en aan de Universiteit Antwerpen.