‘Zoek alternatieven voor Amerikaanse leveranciers’

Het Nederlandse en hele Europese bedrijfsleven schendt op grote schaal de Europese privacyregels via hun Amerikaanse leveranciers. Overheden en toezichthouders komen op stoom voor handhaving, maar het is verstandig om straffen voor te zijn en Europese alternatieve te zoeken.

Ondernemer Stef van der Ziel doet een beroep op gezond verstand en morele waarden van Nederlandse ondernemers. “Het Europese Hof heeft het Privacy Shield afgeschoten en er is geen zicht op een nieuw vangnet voor de persoonsgegevens van Europese burgers.”

De eigenaar van Jet Stream, internationaal leverancier van fundamenten voor videostreaming, spreekt in een negen minuten durende video en podcast zijn zorgen uit. “De Amerikaanse overheid heeft via de Cloud Act”, een wet, “inzage tot alle data die op clouds is opgeslagen van bedrijven met een Amerikaans moederbedrijf. Ook als die bedrijven vanuit Europese b.v.’s werken en data op Europese servers opslaan. Het Privacy Shield”, een set afspraken tussen de EU en VS, “moest data van Europeanen beschermen maar het Europees Hof heeft dat afgelopen juli van tafel geveegd.”

“Er is geen uitzicht op een nieuw Privacy Shield. Alle partijen die op Amerikaanse servers data opslaan schenden Europese privacyregels.” En dat hoeft niet, zo betoogt de ondernemer die al vaker heeft bewezen een vooruitziende blik te hebben. “Zelf hebben we niets op Amerikaanse servers. De transcoding servers die wel in de VS draaien, verplaatsen we daar vandaan.”

Het probleem is breder dan alleen Facebook en Google. Zo’n beetje alle mediabedrijven en internetbedrijven hebben hun hosting en distributie uit handen gegeven aan Amerikaanse bedrijven zoals Amazon, Akamai en Microsoft.

De Groninger wijst erop dat er voldoende Europese alternatieven zijn voor de meeste Amerikaanse diensten. In zijn eigen geval bijvoorbeeld biedt Jet Stream geanonimiseerde videodiensten aan, iets dat concurrenten als Amazon Cloudfront, Microsoft Azure en Akamai niet doen. Zij beschouwen privacy als een sluitpost.”

Hij wijst ook het bestaan ketenaansprakelijkheid. Het feit dat een Nederlandse partij digitale diensten van een andere Nederlands bedrijf afneemt, betekent niet dat die afnemer veilig zit. Immers, de leverancier kan ook wederverkoper zijn van Amerikaanse diensten. Via die route komen persoonsgegevens alsnog binnen het bereik van de Cloud Act en, daarmee, Amerikaanse veiligheids- en inlichtingendiensten.

Vorige maand onderschreef Beryl Hetharia van ICT Recht de visie van Van der Ziel nog in een bijdrage aan Emerce.nl. De juriste schreef: “Nu het Privacy Shield ongeldig is verklaard, mogen persoonsgegevens vanuit Europa alleen aan Amerikaanse partijen worden doorgegeven indien op een andere manier een passend niveau van rechtsbescherming kan worden gewaarborgd. Of de standaard contractuele bepalingen hiervoor gebruikt kunnen worden is hoogst twijfelachtig. Geldt daarvoor immers niet dezelfde redenatie die ten grondslag ligt aan het einde van Privacy Shield?”

Van der Ziel is praktisch over de weg vooruit: “Ga naar al je leveranciers en vraag of en welke Amerikaanse leveranciers zíj hebben. En vraag wat ze doen om aan de lokale privacyregels te voldoen. Het hebben van een Europese dochter is niet voldoende. Het hebben van Europese servers ook niet. Ga met je checklist vervolgens op zoek naar alternatieven.”

Foto: Chad Cooper (cc)