Terwijl wij druk bezig waren met de AVG, werd in Amerika een achterdeur geopend naar onze Europese data.
Kijk eens kritisch naar je ’technology stack’ en of je je Amerikaanse vendor voor Nederlandse (of Europese) alternatieven moet verruilen. Begin bij de ‘basics’: e-mail, SMS, telecom, internet.
Waarom?
Omdat we zó afhankelijk van Amerikaanse technologie zijn geworden, dat we niet meer zelf de regie voeren over onze privacywetgeving. Terwijl we in Europa druk bezig waren met de invoering van de GDPR (AVG in Nederland), werd in Amerika een wet aangenomen, die (weer) een soort ‘achterdeur’ biedt voor de Amerikaanse overheid om toch aan data van Europese burgers te komen.
En dat terwijl het juist hoognodig is dat dit soort wetgeving er kwam. De consument was hard bezig het vertrouwen in data gedreven marketing te verliezen. Wetgeving was noodzakelijk om een einde te maken aan de data gekte van de afgelopen jaren en de zeggenschap over gebruik van persoonsdata te leggen waar het hoort, bij het individu. De snelle adoptie van bijvoorbeeld ad blockers kwam niet zomaar uit de lucht vallen. De industrie had het er echt naar gemaakt.
Wat is er aan de hand?
Op 23 maart 2018 heeft president Trump de zogenaamde Clarifying Lawful Overseas Use of Data Act, kortom: CLOUD Act, getekend. Op basis van deze wet kan de Amerikaanse overheid bij bedrijven die in Amerika zogenaamde ‘remote computing diensten’ aanbieden, gegevens opvragen die in een ander land zijn opgeslagen. De CLOUD Act, in de huidige vorm, is in strijd met de AVG die eind mei van kracht is gegaan, omdat de AVG bepaalt dat data, die in Europa is opgeslagen, moet worden beschermd.
Begin oktober heeft Minister Grapperhaus in een brief de Tweede Kamer geïnformeerd over de impact van de CLOUD Act en het conflict met de AVG. In de brief wordt aangegeven dat het onduidelijk is hoe Amerikaanse bedrijven om zullen gaan met de nieuwe wet. Verder wordt helder uiteengezet dat de Nederlandse regering vindt dat er een aanvullend verdrag moet komen en dat dit verdrag moet worden gesloten tussen de VS en de EU.
Wat betekent dit nu voor bedrijven?
Onder de CLOUD Act moeten Amerikaanse bedrijven data op hun servers, zoals e-mail, documenten, foto’s, video’s, overdragen wanneer een Amerikaanse opsporingsinstantie hen daarom vraagt. Wanneer die data is opgeslagen in Europa en betrekking heeft op Europese burgers, is dat in strijd met de Europese privacywetgeving en is jouw bedrijf, door toedoen van jouw Amerikaanse leverancier, in overtreding van de AVG. Met andere woorden, de ‘achterdeur’ staat wijd open, terwijl je net denkt dat je alles keurig hebt geregeld.
De gevolgen zijn echter nog niet helder. Er wordt aangestuurd op een structurele oplossing, een verdrag tussen de VS en de EU, maar dat kan nog wel even duren. En het is ook niet zeker of dat verdrag er überhaupt van zal komen.
Wat kun je nu doen?
Kijk dus eens kritisch naar je ‘technology stack’ en kies voor Nederlandse (of Europese) alternatieven. Voor e-mail is dit heel simpel. Maak je nu gebruik van bedrijven zoals Sendgrid of Mailgun? Stap dan snel over naar een Europees alternatief.
