Heeft het zin om contractueel te claimen dat gegevens alleen in Nederland of de EER mogen worden verwerkt?

Heeft het zin om contractueel te claimen dat gegevens alleen in Nederland of binnen de Europese Economische Ruimte mogen worden verwerkt?

Persoonsgegevens

Bij clouddiensten maken opdrachtgevers gebruik van hardware die buiten de muren van de eigen organisatie staat. Op deze hardware is software geïnstalleerd en met deze software worden ‘gegevens’ (data) verwerkt, waaronder persoonsgegevens.

Een categorie software waarbij vaak persoonsgegevens wordt verwerkt is de categorie bedrijfsvoeringsoftware. Denk hierbij onder meer aan HRM-systemen, belastingsystemen, financiële systemen, klantinformatiesystemen (CRM), maar ook aan de bij bevoegde gezagen veel gebruikte zaaksystemen en toepassingen voor het verwerken van vergunningsaanvragen, toezicht en handhaving (VTH), parkeerinformatiesystemen en vele andere systemen. Maar er kan ook worden gedacht aan mailservers. Kortom, te veel om op te noemen.

Verwerkersovereenkomsten

Software wordt steeds vaker als een dienst afgenomen, denk aan het veel voorkomende verschijnsel van software as a service. De persoonsgegevens worden buiten de eigen organisatie verwerkt, ook al vinden de toetsaanslagen van de gebruikers binnen de eigen organisatie plaats.

Zodra persoonsgegevens in het geding kunnen zijn sluiten onze opdrachtgevers verwerkersovereenkomsten met de IT-leveranciers af. Dat is een goede zaak. De IT-leveranciers treden in de regel op als ‘verwerker’ in de zin van AVG, terwijl de opdrachtgevers meestal ‘verantwoordelijke’ zijn.

Gegevensverwerking alleen in de EER of in Nederland

Wat we ook vaak zien is dat opdrachtgevers in contracten claimen dat de gegevens worden verwerkt in rekencentra die in de Europese Economische Ruimte (EER) of zelfs binnen Nederland moeten zijn gevestigd.

De achtergrond van deze claim is vaak het gegeven dat er direct of indirect Amerikaanse IT-bedrijven zijn betrokken. In veel gevallen duiken namen van Microsoft, Oracle, VMware, Google en/of Amazon op, ook in de gevallen dat opdrachtgevers in eerste instantie met Nederlandse IT-bedrijven of Nederlandse vestigingen van IT-bedrijven van doen hebben.

Het doel van een dergelijke claim is dan dat men hoopt te voorkomen dat Amerikaanse veiligheidsdiensten zogenaamde gegevensvorderingen kunnen doen.

Wat Amerikaanse bedrijven betreft is dit echter ijdele hoop…

CLOUD-Act

Sinds 23 maart 2018 geldt de Clarifying Lawfull Overseas Use of Data Act, oftewel de CLOUD-Act. De CLOUD-Act is vastgelegd in sectie 2713 van Chapter 121 van (titel 18 van) de United States Code.

In deze Act wordt bepaald dat Amerikaanse IT-leveranciers de verplichting hebben om persoonsgegevens af te staan op bevel van een Amerikaanse autoriteit, waar deze ook ter wereld zijn opgeslagen. Daarnaast mogen ook andere landen een dergelijk dataverzoek doen bij Amerikaanse IT-leveranciers, mits ze door de VS als een qualifying foreign government worden erkend.

De letterlijke tekst luidt:

A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.’

Met de zinsnede ‘…shall comply with the obligations of this chapter…’ wordt vooral verwezen naar sectie 2703 van hetzelfde Chapter 121: Required disclosure of customer communications or records.

Deze Act is ingevoerd, onder andere omdat:

  1. Timely access to electronic data held by communications-service providers is an essential component of government efforts to protect public safety and combat serious crime, including terrorism.
  2. Such efforts by the United States Government are being impeded by the inability to access data stored outside the United States that is in the custody, control, or possession of communications-service providers that are subject to jurisdiction of the United States.

Dit betekent dat het opnemen van de dergelijke claim in een contract ten opzichte van Amerikaanse bedrijven potentieel niet het beoogde effect zou kunnen hebben, terwijl bedrijven als bijvoorbeeld Microsoft naar de letter van een dergelijke contractbepaling ‘compliant’ zijn door de data in datacenters in Europa (Nederland, Ierland, Duitsland, Engeland, zie: https://www.dataweb.nl/waar-staan-de-microsoft-azure-datacenters/) te verwerken.

Internationale overeenkomst

Daarmee wordt door IT-leveranciers en, erger nog, door ‘verantwoordelijke’ opdrachtgevers, potentieel niet voldaan aan het bepaalde van AVG. Artikel 48 van AVG bepaalt echter dat gegevensvorderingen alleen mogen worden gehonoreerd indien er sprake is van een internationale overeenkomst. Omdat Nederland niet een dergelijke overeenkomst met de VS heeft, handelt een IT-leverancier in strijd met AVG.

Gelukkig is het nog wel zo dat de IT-leverancier bij de Amerikaanse rechter bezwaar kan maken, waarna een dergelijke gegevensvordering pas kan plaatsvinden nadat de rechter een belangenafweging heeft gemaakt.

Kiezen uit twee kwaden

De uitkomst hiervan is echter dat een Amerikaans IT-bedrijf moet kiezen uit twee kwaden:
  • ofwel in strijd handelen met Europees recht (GDPR oftewel in Nederland AVG),
  • ofwel in strijd handelen met Amerikaans (straf-)recht.

Tenzij de Amerikaanse rechter het belang van AVG laat prevaleren… Er zijn echter nog geen uitspraken bekend.

Exit-regelingen ook bij bedrijfsvoeringsapplicaties opnemen

Bij outsourcingscontracten is het inmiddels zeer gebruikelijk om een voorziening te treffen waarmee de leverancier actief wor

Meer lezen

COVID-19 reden voor overmacht in IT-contracten?

Dat COVID-19 een dominante invloed heeft op IT-projecten hoeven wij u niet uit te leggen. Wel bereikt ons steeds vaker de vra

Meer lezen
belastingapplicaties-waarderingsapplicaties-aanbesteden

Bedrijfsinformatiesystemen: kiest u enkel het systeem of een complete oplossing?

Bedrijfsinformatiesystemen is een bekende verzamelnaam voor een veelheid aan applicatieoplossingen, die als pakketoplossing o

Meer lezen

Flitsaanbestedingen: veel contact en toch contactloos, snel en efficiënt

Op afstand werken krijgt in deze moeilijke tijden door het coronavirus noodzakelijkerwijs een grote impuls. Tegelijkertijd d

Meer lezen
Inbesteden Centrale Overheid | Emtio

Hoe stelt de Autoriteit Persoonsgegevens boetes vast?

Afgelopen juli werd bekend dat de Autoriteit Persoonsgegevens een boete had opgelegd aan het Haga ziekenhuis voor het niet op

Meer lezen
AVG

Heeft het zin om contractueel te claimen dat gegevens alleen in Nederland of de EER mogen worden verwerkt?

Heeft het zin om contractueel te claimen dat gegevens alleen in Nederland of binnen de Europese Economische Ruimte mogen word

Meer lezen
kantoor

Meerdere contactmomenten met potentiële leveranciers tijdens een ICT aanbesteding? Natuurlijk kan dat (en rechtmatig)!

Aanbestedende diensten hebben wegens het gelijkheidsbeginsel slechts nauwe onderhandelingsruimte met inschrijvers bij een aan

Meer lezen
Softwarematige partinionering

Oracle licenties: is softwarematige partitionering op basis van VMware wel of niet toegestaan?

Vanaf 2002 verspreidt Oracle een document met de benaming ‘Oracle Partitioning Policy’. Het document is de afgelopen jare

Meer lezen
Kostenbeheersing van maatwerk | Emtio

Kostenbeheersing maatwerksoftware: welke maatregelen zijn mogelijk?

Vandaag de dag is de meeste software zogenaamde standaardsoftware. Omdat geen enkele organisatie ook echt ‘standaard’ is,

Meer lezen
Aanbesteding collusie | Emtio

Inschrijvingen op aanbestedingen door verbonden ondernemingen

Als gevolg van overnames en fusies en dergelijke kunnen verhoudingen binnen een markt op elk moment veranderen. Voor aanbeste

Meer lezen