Nederland, pas op met Amerikaanse leveranciers en personeel

Voor zover er onduidelijkheid over was, is die nu weggenomen door de advocaten van Greenberg Traurig. In een brief aan het National Cyber Security Center van het ministerie van Justitie wordt geschetst hoe ver de Amerikaanse overheid kan gaan om bedrijfsdata in te zien van Amerikaanse bedrijven. Dat is relevant om te weten, omdat veel Europese bedrijven Amerikaanse leveranciers gebruiken van digitale diensten. Hun gegevens liggen dus binnen juridisch handbereik van Amerikaanse opsporings- en inlichtingendiensten.

De brief bevestigt Europese bedrijven en wederverkopers van digitale diensten, dat ze voorzichtig moeten zijn met transatlantische leveranciers en medewerkers. Over dat laatste zeggen de advocaten: “Als je buiten het bereik van de Cloud ACT wilt blijven”, de relevante Amerikaanse wet “dan moet je geen Amerikaanse burgers in dienst hebben die toegang hebben tot de relevante bedrijfsgegevens.” Ze kunnen dus, zo lijkt de implicatie, door hun overheid gedwongen te kunnen worden mee te werken aan onderzoeken.

De Amerikaanse overheid heeft via de Cloud Act inzage in alle data die op clouds zijn opgeslagen van bedrijven met een Amerikaans moederbedrijf. Ook als die bedrijven vanuit Europese b.v.’s werken en data op Europese servers opslaan. Onder bedrijfsgegevens kan ook data van burgers vallen bij Amazon, Google en Microsoft. Het Privacy Shield, een set afspraken tussen de EU en VS, moest data van Europeanen hiertegen beschermen, maar het Europees Hof heeft dat afgelopen juli 2020 van tafel geveegd.

Een Duitse rechter bepaalde onlangs dat een bedrijf niet mocht meedoen aan een publieke aanbesteding, omdat het met een Amerikaanse cloud werkt. Dus niet privacyveilig, was de conclusie. Juristen zetten nu enthousiast hun tanden in de casus omdat deze de grenzen aftast van grotendeels nog onbekend terrein. Er is amper jurisprudentie.

De Duitse uitspraak laat onverlet dat kantoor Greenberg Traurig alle twijfel wegneemt bij de Nederlandse overheid. Ja, Amerika mag meekijken als het daar reden toe heeft. Bedrijven of personen die niet meewerken met verzoeken van overheidsdiensten lopen risico op een geldboete en mogelijk gevangenisstraf.

De nationale privacytoezichthouders van de Europese Unie raadden bedrijven eind 2020 al aan om data van EU-burgers uit Amerikaanse handen te houden als ze niet compleet zeker zijn van de dataveiligheid. Het is verstandig dat dataverwerkende instanties alternatieven gaan zoeken voor Amerikaanse leveranciers.

De meest praktische oplossing voor bedrijven die persoonsgegevens willen doorgeven naar derde landen lijken de zogeheten standaardbepalingen (standard contractual clauses of SCC’s genoemd). Die bieden in de uitleg van de toezichthouders standaard echter onvoldoende zekerheid. “Dat mag in de meeste gevallen alléén als een bedrijf voldoende aanvullende maatregelen neemt om de veiligheid van de doorgifte te waarborgen”, aldus de Nederlandse toezichthouder.

Afgelopen mei sloten de EU en VS wel een principeakkoord voor vrij verkeer van persoonsgegevens van EU-burgers naar de servers van Amerikaanse techbedrijven. De spaarzame details die hierover bekend zijn, en dat zijn er heel weinig, zijn volgens Max Schrems’ burgerrechtenorganisatie noyb niet voldoende. De Oostenrijker staat klaar voor weer een gang naar de rechter. Hij persoonlijk was er verantwoordelijk voor, dat het oorspronkelijke Privacy Shield sneuvelde.

Bron: emerce.nl