7 JUN, 2023 • Column
3 jaar na Schrems II: maak einde aan onzekerheid gegevensuitwisseling
Wist je dat je ook als mkb’er een grote boete boven je hoofd hangt als je persoonsgegevens van klanten of werknemers naar de VS laat gaan? Bijvoorbeeld doordat je normale programma’s gebruikt zoals Mailchimp om je klanten een mailing met je laatste aanbiedingen te sturen? Of als je Google analytics gebruikt om inzicht te krijgen in alle activiteiten naar, op en van je website? Of Microsoft Teams? Niet omdat er iets mis is met die programma’s maar omdat ze in de VS niet dezelfde privacyregels hebben als in Europa. Dat is schrikken toch? Ik vind dat in elk geval wel.
Standaardcontract blijkt niet de oplossing
Dat het na Schrems-II (uitspraak van het Europese Hof) lastiger was om data die op Europees grondgebied is verzameld, op Amerikaanse server op te slaan, weten we al een tijdje. Nou dachten we in de tussentijd toch netjes aan de Europese regelgeving te voldoen door een zogenoemd standaardcontract te gebruiken voor overeenkomsten met bedrijven of organisaties uit niet EU-lidstaten. Daarin staan allerlei waarborgen om ervoor te zorgen dat de privacy goed is beschermd. Bijvoorbeeld door het aantal gebruikers dat toegang tot Europese data heeft enorm te beperken. Maar onlangs heeft de Ierse toezichthouder bekend gemaakt dat je als bedrijf geen enkele maatregel kan nemen om te zorgen dat data wel veilig naar de VS kunnen.
Iedereen loopt risico
Bedrijven staan nu dus machteloos. Alleen wetgevers in andere landen kunnen voor een oplossing zorgen. Gelukkig is er de laatste tijd van alles gedaan aan Amerikaanse en Europese zijde om te zorgen dat de privacybescherming wel op orde is. Maar we zijn er nog niet. Het is wachten op een zogenoemd adequaatheidsbesluit van de Europese Commissie dat vaststelt dat de Amerikaanse privacybescherming daadwerkelijk gelijkwaardig is aan de Europese. Tot dat moment hebben enorm veel bedrijven een probleem als ze bijvoorbeeld zakendoen met bedrijven in niet-EU-lidstaten, software gebruiken die uit zulke landen afkomstig is of gebruik maken van een 24-7 helpdesk. Op zo’n definitief besluit wachten we inmiddels al bijna drie jaar. Ik vind dat het zo niet langer kan. Want ik snap dat veel bedrijven inmiddels wanhopig zijn. En niet alleen bedrijven. Ook kankeronderzoek in samenwerking met Amerikaanse artsen kan niet meer worden gedaan. Simpelweg omdat een Amerikaanse arts niet in servers op Europees grondgebied kan inloggen zonder risico te lopen op een gigantische boete. Dat kan toch niet de bedoeling zijn?
Kabinet geef nú akkoord op ontwerpbesluit EU
Het is hoog tijd dat het kabinet een akkoord geeft op het ontwerpbesluit dat de Europese Commissie heeft voorgelegd. Niet morgen, maar nu. Anders zijn de gevolgen niet te overzien.
Irvette Tempelman
Beleidssecretaris privacy, consumentenbeleid en digitalisering