Heeft het zin om contractueel te claimen dat gegevens alleen in Nederland of de EER mogen worden verwerkt?

Heeft het zin om contractueel te claimen dat gegevens alleen in Nederland of binnen de Europese Economische Ruimte mogen worden verwerkt?

Persoonsgegevens

Bij clouddiensten maken opdrachtgevers gebruik van hardware die buiten de muren van de eigen organisatie staat. Op deze hardware is software geïnstalleerd en met deze software worden ‘gegevens’ (data) verwerkt, waaronder persoonsgegevens.

Een categorie software waarbij vaak persoonsgegevens wordt verwerkt is de categorie bedrijfsvoeringsoftware. Denk hierbij onder meer aan HRM-systemen, belastingsystemen, financiële systemen, klantinformatiesystemen (CRM), maar ook aan de bij bevoegde gezagen veel gebruikte zaaksystemen en toepassingen voor het verwerken van vergunningsaanvragen, toezicht en handhaving (VTH), parkeerinformatiesystemen en vele andere systemen. Maar er kan ook worden gedacht aan mailservers. Kortom, te veel om op te noemen.

Verwerkersovereenkomsten

Software wordt steeds vaker als een dienst afgenomen, denk aan het veel voorkomende verschijnsel van software as a service. De persoonsgegevens worden buiten de eigen organisatie verwerkt, ook al vinden de toetsaanslagen van de gebruikers binnen de eigen organisatie plaats.

Zodra persoonsgegevens in het geding kunnen zijn sluiten onze opdrachtgevers verwerkersovereenkomsten met de IT-leveranciers af. Dat is een goede zaak. De IT-leveranciers treden in de regel op als ‘verwerker’ in de zin van AVG, terwijl de opdrachtgevers meestal ‘verantwoordelijke’ zijn.

Gegevensverwerking alleen in de EER of in Nederland

Wat we ook vaak zien is dat opdrachtgevers in contracten claimen dat de gegevens worden verwerkt in rekencentra die in de Europese Economische Ruimte (EER) of zelfs binnen Nederland moeten zijn gevestigd.

De achtergrond van deze claim is vaak het gegeven dat er direct of indirect Amerikaanse IT-bedrijven zijn betrokken. In veel gevallen duiken namen van Microsoft, Oracle, VMware, Google en/of Amazon op, ook in de gevallen dat opdrachtgevers in eerste instantie met Nederlandse IT-bedrijven of Nederlandse vestigingen van IT-bedrijven van doen hebben.

Het doel van een dergelijke claim is dan dat men hoopt te voorkomen dat Amerikaanse veiligheidsdiensten zogenaamde gegevensvorderingen kunnen doen.

Wat Amerikaanse bedrijven betreft is dit echter ijdele hoop…

CLOUD-Act

Sinds 23 maart 2018 geldt de Clarifying Lawfull Overseas Use of Data Act, oftewel de CLOUD-Act. De CLOUD-Act is vastgelegd in sectie 2713 van Chapter 121 van (titel 18 van) de United States Code.

In deze Act wordt bepaald dat Amerikaanse IT-leveranciers de verplichting hebben om persoonsgegevens af te staan op bevel van een Amerikaanse autoriteit, waar deze ook ter wereld zijn opgeslagen. Daarnaast mogen ook andere landen een dergelijk dataverzoek doen bij Amerikaanse IT-leveranciers, mits ze door de VS als een qualifying foreign government worden erkend.

De letterlijke tekst luidt:

‘A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.’

Met de zinsnede ‘…shall comply with the obligations of this chapter…’ wordt vooral verwezen naar sectie 2703 van hetzelfde Chapter 121: Required disclosure of customer communications or records.

Deze Act is ingevoerd, onder andere omdat:

1. Timely access to electronic data held by communications-service providers is an essential component of government efforts to protect public safety and combat serious crime, including terrorism.
2. Such efforts by the United States Government are being impeded by the inability to access data stored outside the United States that is in the custody, control, or possession of communications-service providers that are subject to jurisdiction of the United States.

Dit betekent dat het opnemen van de dergelijke claim in een contract ten opzichte van Amerikaanse bedrijven potentieel niet het beoogde effect zou kunnen hebben, terwijl bedrijven als bijvoorbeeld Microsoft naar de letter van een dergelijke contractbepaling ‘compliant’ zijn door de data in datacenters in Europa (Nederland, Ierland, Duitsland, Engeland, zie: https://www.dataweb.nl/waar-staan-de-microsoft-azure-datacenters/) te verwerken.

Internationale overeenkomst

Daarmee wordt door IT-leveranciers en, erger nog, door ‘verantwoordelijke’ opdrachtgevers, potentieel niet voldaan aan het bepaalde van AVG. Artikel 48 van AVG bepaalt echter dat gegevensvorderingen alleen mogen worden gehonoreerd indien er sprake is van een internationale overeenkomst. Omdat Nederland niet een dergelijke overeenkomst met de VS heeft, handelt een IT-leverancier in strijd met AVG.

Gelukkig is het nog wel zo dat de IT-leverancier bij de Amerikaanse rechter bezwaar kan maken, waarna een dergelijke gegevensvordering pas kan plaatsvinden nadat de rechter een belangenafweging heeft gemaakt.

Kiezen uit twee kwaden

• ofwel in strijd handelen met Europees recht (GDPR oftewel in Nederland AVG),
• ofwel in strijd handelen met Amerikaans (straf-)recht.

Tenzij de Amerikaanse rechter het belang van AVG laat prevaleren… Er zijn echter nog geen uitspraken bekend.

Meer weten?

Heeft u vragen met betrekking tot persoonsgegevens? Emito helpt je graag verder. Neem contact op via het contactformulier of bel naar 010-3072781.