‘Streep door privacy shield maakt tijd rijp om te kiezen voor Europese alternatieven’

Zonder dit te beseffen, stevent de digitale sector af op een ongekende uitdaging. Met de ongeldigverklaring van het EU-VS privacy shield ontkomen bedrijven er volgens IT-jurist Arnoud Engelfriet niet aan om alvast te zoeken naar alternatieven voor de software van Amerikaanse leveranciers. “Of het nu een CMS, marketingsuite of cloudserver betreft, het is noodzakelijk de dataverwerking tegen het licht te houden.” 

“Praktisch elk digitaal bedrijf zit op dit moment klem”. Met die veelzeggende woorden duidt Arnoud Engelfriet, jurist bij ICTRecht, de huidige situatie. “Wie zich inspant om te voldoen aan de AVG kan strikt juridisch gezien geen software van Amerikaanse bedrijven gebruiken. Dat is op dit moment hartstikke illegaal.” De praktische uitwerking noemt hij minder zwart-wit, maar de stand van zaken is voor velen toch bijzonder problematisch. Het raakt bedrijven op diverse plekken en voor allerlei toepassingen moet een alternatief worden gevonden: van de kleinste reCAPTCHA-module in een website tot de suite die de marketingafdeling ondersteunt of het enterprise CMS dat in een Amerikaanse cloudomgeving wordt gehost. In die laatste categorie kan bijvoorbeeld Drupal uitkomst bieden, aangezien dat open source is en gewoon binnen de EU is te hosten.

Verbod dataverwerking

Sinds het Hof van Justitie van de Europese Unie afgelopen zomer het EU-VS privacy shield ongeldig verklaarde, mogen organisaties geen persoonsgegevens meer doorgeven aan Amerikaanse leveranciers. Hoewel het privacy shield meer waarborgen en toezicht bevatte dan het eerdere ‘safe harbour’-akkoord, vindt het Hof die onvoldoende bescherming bieden. Zo hebben de Amerikaanse inlichtingen- en veiligheidsdiensten nog altijd het recht om de data van EU-burgers in te kijken en te gebruiken. En dit recht is niet beperkt tot de noodzakelijke gegevens. Daarnaast is de ombudsman – waartoe Europeanen zich bij klachten konden wenden – niet onafhankelijk of in staat bindende besluiten te nemen.

Raakt elk bedrijf of website-eigenaar

De gevolgen voor het Europese bedrijfsleven zijn volgens Engelfriet verstrekkend. Dienstverlening uitbesteden – bijvoorbeeld een helpdesk – is er in de huidige situatie niet meer bij. Nog ingrijpender is het verbod op dataverwerking. Bedrijven die gebruikersdata opslaan of verwerken bij Amerikaanse leveranciers zijn in overtreding. Dit geldt zowel voor bedrijven die zijn gevestigd in de VS als wanneer de gegevens worden gehost door een partij met een Amerikaans moederbedrijf. Ook de servers die techreuzen op Europese grond plaatsen zijn dus een ‘no-go’.

Mede daarom raakt de conclusie van het Hof bijna elk bedrijf of website-eigenaar. Veelgebruikte software zoals marketingsuites, tools voor e-mailmarketing en content management systemen komen geregeld uit de VS. “Zelfs wanneer een contentbeheerder een Google Maps-kaartje insluit of het CMS op de achtergrond een anti-spammodule gebruikt, begeeft iemand zich mogelijk al op glad ijs.”

‘Standaardcontracten onbruikbaar’

Een door het Hof gesuggereerde escaperoute is die van het standaardcontract voor dataprivacy. Europa heeft hiervoor zogeheten ‘standard contractual clauses’ (SCC) beschikbaar. De softwareleverancier en gebruiker spreken hierin met elkaar af om zich in te spannen en AVG-proof te werken. Onder andere Google, Microsoft en Amazon – waar veel bedrijven hun CMS’en en andere software hosten – maken hiervan gebruik en nemen zulke clausules op in de overeenkomsten.

Op dit moment voegen die volgens Engelfriet echter weinig meer toe. Europese toezichthouders hebben al gezegd dat die alleen bruikbaar zijn bij aanvullende maatregelen. En daar wringt de schoen behoorlijk. “Amerikaanse bedrijven kunnen de mooiste afspraken maken, maar ze zullen altijd gehoor moeten geven aan de inlichtingen- en veiligheidsdiensten en de data dus overhandigen. De SCC’s hebben daarom geen enkele betekenis.”

Inventariseer en heroriënteer 

Hoe helder hij de uitspraak juridisch gezien ook vindt, zijn advies is niet om meteen alle software gedag te zeggen. “Benader het onderwerp pragmatisch en blijf de adviezen van de toezichthouder volgen.” Dat betekent voor nu dat bedrijven in kaart moeten brengen welke weg de persoonsdata aflegt. Houd data altijd in de EU, zo luidt het algemene advies. Door belangrijke systemen lokaal te hosten, houd je als bedrijf de dataverwerking simpelweg in eigen hand. De meest gebruikte SaaS- of cloudoplossingen worden juist in een Amerikaanse cloud gehost. Als alternatief kun je kijken naar open source software, om die vervolgens binnen de EU te hosten.

De realiteit is dat bedrijven in lang niet alle situaties zo’n directe invloed hebben. “Dan kun je ervoor kiezen de data te versleutelen voordat deze op een Amerikaanse server belandt”, suggereert Engelfriet. Maar veel liever nog heeft hij dat bedrijven in beweging komen. “Inventariseer alvast welke Europese alternatieven er zijn en experimenteer hier intern mee.” Op den duur hebben de bedrijven die kunnen aantonen volledig Europees te werken een marketingvoordeel, zo schat hij in. Google Analytics meteen inruilen voor een alternatief zoals Matomo of Piwik is misschien wat veel gevraagd, maar kan wel een belangrijke zet zijn richting een meer gefaseerde overstap. Ook wanneer je website draait op een CMS dat wordt gehost in de Amerikaanse cloud, zoals Sitecore of Episerver, kun je alvast kijken naar open source alternatieven. Zo draaien bijvoorbeeld alle websites van de Europese Commissie op Drupal. En ook binnen de Nederlandse (semi) overheid is Drupal een veelgebruikte oplossing. Daarnaast is Engelfriet zijn advies goed te kijken naar nieuwe initiatieven, waaronder het Europese cloudinitiatief Gaia-X. 

Engelfriet: “De kans dat er een nieuw privacyverdrag komt is bijzonder klein. Daarvoor verschillen Europa en de VS te fundamenteel van gedachten. Europese bedrijven kunnen niet anders dan alvast na te denken over alternatieve scenario’s. Afwachten is nu echt geen optie meer.”

Over de auteur: Matthijs van der Pol is freelance journalist voor diverse nieuws- en business publishers.