Drie waarheden rondom de datawet

De ‘mythen’ die Steltman aansnijdt zijn:

• De locatie van de data doet er toe.

• Public clouds zijn problematisch in het licht van de AVG.

• Bewerkersovereenkomsten moeten aparte documenten zijn.

 

1. De locatie van de data

Volgens Steltman doet die er niet langer meer toe omdat de AVG ook buiten de EU van toepassing kan zijn. En dat zolang dienstverleners verklaren zich aan de AVG te conformeren er niets aan de hand is. Hij geeft daarbij Privacy Shield als voorbeeld van een constructie die die zekerheid zou geven. Dit is op meerdere vlakken onjuist en kan zelfs misleidend werken. Steltman verwart de extraterritoriale werking van de AVG – die gericht is op dienstverleners buiten de EU die zich nadrukkelijk op diensten aan burgers in de EU richten – met een instrument dat transfers buiten de Europese Economische Ruimte rechtmatig maakt, in plaats van boeteplichtig. In de meeste gevallen gaat het echter om verwerkingen van persoonsgegevens voor anderen dan de EU-burgers zelf.

Inderdaad, Google Amerika gaat onder de AVG vallen (en doet dat op grond van Europese jurisprudentie nu al omdat het zich nadrukkelijk op de Europese markt richt). Maar de hostingdiensten van bijvoorbeeld Amazon, waar menig Europese SaaS-provider op leunt, vallen niet automatisch onder de AVG als ze van buiten de EU worden geleverd. En wat het zich op vrijwillige basis aan de AVG conformeren betreft, al dan niet via een mechanisme als Privacy Shield: de bewering dat men daar op kan vertrouwen is op zijn minst bijzonder gewaagd. Dit gezien de zeer strenge criteria waar het Europese Hof op basis van het Handvest van de Europese Unie in de zaak Schrems de voorganger van Privacy Shield, Safe Harbour, heeft beoordeeld en te licht heeft bevonden.

Er is dan ook vrijwel geen jurist te vinden die zijn cliënten durft te adviseren om op Privacy Shield te vertrouwen. Dit is een waarschijnlijke verklaring voor het feit dat het aantal Amerikaanse partijen dat zich onder Privacy Shield heeft laten certificeren ook veel en veel lager is dan bij Safe Harbour het geval was. Zo ongeveer iedereen in de markt herkent in Privacy Shield een politiek uitstel van executie om een al te acute handelsoorlog tussen de EU en de Verenigde Staten te voorkomen.

En wat Steltman helemaal niet noemt is, dat we sinds Schrems weten dat iedere Europese privacytoezichthouder (er zijn er ongeveer 45) de bevoegdheid heeft om onafhankelijk van de rest Privacy Shield te beoordelen in het licht van de Europese wetgeving én (Schrems-)jurisprudentie, op basis van individuele klachten van burgers. Deze onzekerheid is zeer oncomfortabel voor de doorsnee zakelijke partij. Daardoor gaan deze partijen doorgaans niet in zee met dienstverleners van buiten de Europese Economische Ruimte, een enkele uitzondering als Zwitserland daargelaten.

2. De publieke clouds

Naast het voorgaande locatieprobleem is er nog een ander punt: in de AVG is veel scherper in de wet omschreven in hoeverre de verantwoordelijke ‘in control’ moet zijn. Dus een instructiebevoegdheid naar de dienstverlener, verplichtingen van de dienstverlener om de klant te informeren als er andere onderaannemers in het spel zijn, het regelen van exitscenario’s en dergelijke. En daar is in de praktijk bij veel (publiek) clouddiensten nog geen sprake van. En het kan niet afgedaan worden met de stelling dat de dienstverlener zijn zaakjes meestal beter op orde heeft dan zijn klanten. Dat kan wel waar zijn, maar die klant moet aan het stuur kunnen zitten. Kan hij dat niet, dan voldoet hij niet aan de wet. En het alternatief kan dan best wel eens inbesteden zijn, al was het maar om de dienstverlener te laten weten dat het menens is.

3. De noodzaak van een aparte bewerkersovereenkomst

Steltman beroept zich daarbij op Arnoud Engelfriet die inderdaad gelijk heeft dat de AVG niets zegt over de noodzaak van het bestaan van een apart document. Dat zegt de huidige wetgeving evenmin. Dat dit toch gangbaar is heeft te maken met privacytoezichthouders die hier de voorkeur aan geven in het geval de dienstverlening meer omvat dan uitsluitend het verwerken van persoonsgegevens. Wat uit oogpunt van toezichthouderseffectiviteit logisch is: zij zullen zich niet door teksten willen worstelen die niet relevant zijn voor hun taak. En ik zal mijn cliënten niet snel adviseren die discussie met een privacytoezichthouder aan te gaan, want dat gaat tijd en energie kosten die meestal beter besteed kan worden aan andere zaken. Hier speelt het verschil tussen gelijk hebben en gelijk krijgen. Gelijk krijgen is lang niet vanzelfsprekend en de meeste commerciële bedrijven hebben andere prioriteiten dan activisme.

Rechtszaal

De conclusie is dus dat de locatie van de data er wel degelijk toe doet. En ja: inbesteding kan wel eens noodzakelijk zijn nu publieke clouddienstverleners nog vaak halsstarrig aan voorwaarden vasthouden die niet conform de AVG zijn. Ook is een losse bewerkersovereenkomst nog steeds verstandig, tenzij je graag in de rechtszaal staat om tegen toezichthouders te procederen.