Terwijl de Autoriteit Persoonsgegevens al sinds 1984 in ons land actief is, zien we dat veel ondernemers pas enkele jaren bewust zijn gaan nadenken over hun verantwoordelijkheid voor wat betreft de opslag van persoonsgebonden data. Dit inzicht heeft natuurlijk alles te maken met de toenemende verspreiding van data via grens overstijgende computernetwerken (bijvoorbeeld cloudapplicaties) en de controle daarop vanuit overheidsinstellingen. Binnen de EU gelden daarvoor de regels van de GDPR, Europese wetgeving die moet waarborgen dat de persoonsgegevens van EU-ingezetenen op ordelijke wijze wordt verwerkt met onder meer het recht op inzage en eventueel verwijdering. Kort door de bocht kan je stellen dat de Autoriteit Persoonsgegevens (AP) gemachtigd is om bij elke onderneming te controleren of die zich aan de GDPR-richtlijnen houdt en zo niet om sancties op te leggen in de vorm van boetes.
Nu zal menig MKB’er denken: die AP heeft voor uitvoering van haar controlerende taak veel te weinig capaciteit, dus kijken ze alleen naar de grote organisaties. Die redenering houdt geen stand. Juist de grote organisaties steken veel tijd en middelen in het afdoende beveiligen van hun persoonsgebonden data overal op de wereld. Daarnaast zien we dat met de automatiseringsslag die momenteel binnen het MKB-segment gaande is, veel kleinere bedrijven hun IT-voorzieningen naar de cloud migreren en daar veelal door Amerikaanse dienstverleners en softwarepartijen worden bediend. Over de manier waarop we met persoonsgebonden data moeten omgaan, wordt er in Europa en de Verenigde Staten verschillend gedacht. De overheid in de VS heeft veel meer bevoegdheid om in de persoonsgebonden gegevens rond te neuzen. Dus is het toch raadzaam om als Nederlandse MKB-ondernemer eens stil te staan op welke locatie jouw bedrijfsdata wordt bewaard.
Ooit konden de EU en de VS elkaar vinden in het zogeheten ’Safe Harbour’ verdrag, waarbij beide machtsblokken gezamenlijke regels hanteerden voor het bewaren van persoonsgebonden data. De Oostenrijkse advocaat Max Schrems toonde als individueel burger feilloos aan dat het verdrag geen enkele garantie bood dat de data van EU-ingezetenen, opgeslagen in de VS, niet onder ogen van derden zou kunnen komen. Spoedig volgde er een reparatie in de vorm van het zogeheten ’Privacy Shield’, een zelf certificerend systeem dat een Amerikaans bedrijf in staat stelt een certificaat op te stellen. Het certificaat vormde het bewijs dat de persoonsgebonden data conform de GDPR-regels was opgeslagen. Ook van dit systeem maakte Schrems gehakt.
Er bestaat op dit moment dus geen formele afspraak tussen de EU en de VS over de opslag van persoonsgebonden data. Er is wel weer één in de maak, maar er is nog geen zicht op wanneer die in werking gaat treden. Het MKB-bedrijf, dat zakendoet met onder meer bedrijven in de VS of een Nederlandse vestiging van een Amerikaanse onderneming, die van hieruit afnemers in de EU bedient, kan besluiten helemaal niets te doen tot op het moment dat het nieuwe verdrag er is. Of men kan proactief aan de gang gaan met een juridisch instrument aangeduid als ’Standard Contractual Clausus’, een lappendeken van contracten plus aanvullende maatregelen voor het waarborgen van de dataopslag. Dit scenario vereist veel juridische expertise en is daardoor zeer kostbaar.
Ik adviseer een proactieve houding, maar dan goedkoper. Als eerste zorg ervoor (waar mogelijk) dat de bedrijfsdata worden opgeslagen binnen de EU (inclusief het Verenigd Koninkrijk, Zwitserland en Noorwegen). Ga in gesprek met de cloudpartner over de omgang met (privacy)gevoelige data en persoonsgegevens. Leg die afspraken vast in een dossier, benoem de risico’s en de genomen maatregelen om die te minimaliseren. Daarmee breng je de problematiek in kaart. Je kunt jezelf verantwoorden naar je klanten en de AP.
Voor de verdere verantwoording naar de AP is het natuurlijk ook van belang dat het privacy dossier op orde is. Denk hierbij aan het hebben van een register, beleid en verwerkersovereenkomsten. Dit is de basis die voor iedere organisatie op orde moet zijn. Tenslotte is het belangrijk om dit niet slechts eenmalig ‘af te vinken’ (IT staat nooit stil namelijk), maar op te nemen in procedures/werkwijzen en medewerkers bewust te maken op dit vlak. Alleen dan ben je als organisatie structureel bezig om compliant te zijn en te blijven.