Hoewel de Autoriteit Persoonsgegevens sinds 1984 in ons land actief is, zijn veel ondernemers pas enkele jaren bewust gaan nadenken over de verantwoordelijkheid inzake opslag van persoonsgebonden data. Dit inzicht heeft te maken met de toenemende verspreiding van data via grensoverstijgende computernetwerken (bijvoorbeeld cloud-applicaties) en de controle daarop vanuit overheidsinstellingen.
Binnen de EU gelden de regels van de GDPR (AVG), de Europese wetgeving die moet waarborgen dat de persoonsgegevens van EU-ingezetenen op ordelijke wijze wordt verwerkt met onder meer het recht op inzage en eventueel verwijdering. Kort door de bocht kan je stellen dat de Autoriteit Persoonsgegevens (AP) gemachtigd is om bij elke onderneming te controleren of die zich aan de GDPR-richtlijnen houdt en zo niet om sancties op te leggen in de vorm van boetes.
Cloudmigraties
Nu zal menig mkb’er denken: die AP heeft voor het uitvoeren van haar controlerende taak veel te weinig capaciteit, dus kijkt ze alleen naar de grote organisaties. Die redenering houdt geen stand. Juist de grote organisaties steken veel tijd en middelen in het afdoende beveiligen van hun persoonsgebonden data overal op de wereld.
Daarnaast zien we dat met de automatiseringsslag die momenteel binnen het mkb-segment gaande is, veel kleinere bedrijven hun it-voorzieningen naar de cloud migreren en daar veelal door Amerikaanse dienstverleners en softwarepartijen worden bediend. Over de manier waarop we met persoonsgebonden data moeten omgaan, wordt in Europa en de VS verschillend gedacht. De overheid in de VS heeft veel meer bevoegdheid om in de persoonsgebonden gegevens rond te neuzen. Dus is het toch raadzaam om als Nederlandse mkb-ondernemer eens stil te staan op welke locatie jouw bedrijfsdata wordt bewaard.
Veilige haven
Ooit konden de EU en de VS elkaar vinden in het zogeheten Safe Harbour-verdrag, waarbij beide machtsblokken gezamenlijke regels hanteerden voor het bewaren van persoonsgebonden data. De Oostenrijkse advocaat Max Schrems toonde als individueel burger feilloos aan dat het verdrag geen enkele garantie bood dat de data van EU-ingezetenen, opgeslagen in de VS, niet onder ogen van derden zou kunnen komen. Spoedig volgde er een reparatie in de vorm van het zogeheten Privacy Shield, een zelfcertificerend systeem dat een Amerikaans bedrijf in staat stelt een certificaat op te stellen. Het certificaat vormde het bewijs dat de persoonsgebonden data conform de GDPR-regels was opgeslagen. Ook van dit systeem maakte Schrems gehakt.
Juridische weg
Er bestaat op dit moment dus geen formele afspraak tussen de EU en de VS over de opslag van persoonsgebonden data. Er is wel weer één in de maak, maar er is nog geen zicht op wanneer die in werking gaat treden. Het mkb-bedrijf, dat zakendoet met onder meer bedrijven in de VS of een Nederlandse vestiging van een Amerikaanse onderneming, die van hieruit afnemers in de EU bedient, kan besluiten helemaal niets te doen tot op het moment dat het nieuwe verdrag er is. Of kan proactief aan de gang gaan met een juridisch instrument aangeduid als Standard Contractual Clausus, een lappendeken van contracten plus aanvullende maatregelen voor het waarborgen van de dataopslag. Dit scenario vereist veel juridische expertise en is daardoor zeer kostbaar.
Eigen dossier aanleggen
Ik adviseer een proactieve houding, maar dan goedkoper. Als eerste zorg ervoor (waar mogelijk) dat de bedrijfsdata worden opgeslagen binnen de EU (inclusief het Verenigd Koninkrijk, Zwitserland en Noorwegen). Ga in gesprek met de cloudpartner over de omgang met (privacy)gevoelige data en persoonsgegevens. Leg die afspraken vast in een dossier, benoem de risico’s en de genomen maatregelen om die te minimaliseren. Daarmee breng je de problematiek in kaart. Je kunt jezelf verantwoorden naar je klanten en de AP.
Voor de verdere verantwoording naar de AP is het bovendien van belang dat het privacydossier op orde is. Denk aan het hebben van een register, beleid en verwerkersovereenkomsten. Dit is de basis die voor elke organisatie. Tot slot is het belangrijk om dit niet slechts eenmalig ‘af te vinken’ (it staat nooit stil), maar op te nemen in procedures/werkwijzen en medewerkers bewust te maken op dit vlak. Alleen dan ben je als organisatie structureel bezig om compliant te zijn en te blijven.
