Amerikaanse clouddiensten staan AVG-compliance in de weg

Het FD meldt vandaag dat de meeste Nederlandse en Europese bedrijven, drie jaar na de invoering, nog altijd niet voldoen aan de nieuwe Europese privacywetgeving, de AVG. Die conclusie kan getrokken worden naar aanleiding van uitspraken die CIO’s van meer dan 130 grote bedrijven doen op het CIO Platform.

De CIO’s wijzen het massale gebruik van clouddiensten van Google, Amazon en Microsoft aan als een van de belangrijke oorzaken dat zij nog niet aan de AVG kunnen voldoen. Het gebrek aan transparantie dat deze Amerikaanse bedrijven ten toon spreiden, onder andere door gebrek aan transparantie over wat zij met data van klanten doen, maakt het voor veel Nederlandse (en Europese) bedrijven onmogelijk de AVG na te leven.

Het CIO Platform roept (Europese) wetgevers daarom op de Amerikaanse bedrijven te verplichten aan de AVG-eisen te voldoen. Doen deze bedrijven dat niet, dan moet het leveren producten op de Europese markt aan banden gelegd worden, aldus de CIO’s.

Kosten worden doorgeschoven

Op dit moment draaien de Europese bedrijven zelf op voor de kosten die gepaard gaan met de inspanningen die geleverd moeten worden om ervoor te zorgen dat de producten de genoemde Amerikaanse leveranciers aan de AVG te voldoen. En daar slagen zij in veel gevallen dus niet in. Dit betekent ook dat eventuele boetes die door toezichthouders als de Autoriteit Persoonsgegevens (AP) opgelegd worden, voor hun rekening komen. Die boetes kunnen oplopen tot 4 procent van de jaaromzet.

Ronald Verbeek, directeur van het CIO Platform en CIO van het Radboudumc, vraag zich in het FD af waarom een deel van de boetes niet direct aan de betreffende softwareleveranciers opgelegd wordt wanneer duidelijk is dat zij ook deels verantwoordelijk zijn voor het niet kunnen naleven van de AVG-wet door Europese bedrijven. Volgens Verbeek is er sprake van een ‘weeffout’ in de AVG. “Dat moeten we omdraaien. Niet de gebruiker maar de maker hoort zorg te dragen voor veilige software. De wetgever moet dit echt repareren”, aldus de CIO.

GGD slachtoffer

Een voorbeeld van deze ‘weeffout’ is het datalek dat onlangs de GGD trof en waarvoor die organisatie ook volledig verantwoordelijk gehouden werd. Het systeem van de GGD bevatte een exportfunctie voor data waardoor persoonsgegevens naar buiten konden lekken. Dat was een kwalijke zaak, maar volgens Peter Kits, IT-recht specialist bij Deloitte, moet in deze gevallen juist gekeken worden naar de reden waarom een dergelijke functie, met alle privacy-risico’s van dien, ingebouwd werd.

Vaak, zo stelt hij, hebben bedrijven die gebruik willen maken van clouddiensten te maken met eenzijdige, door de Amerikaanse software industrie gedicteerde, voorwaarden. Daarin is vaak onduidelijk wat de leverancier al dan niet met de data van de klant mag doen en of die voorwaarden al dan niet voldoen aan de geldende AVG-bepalingen. Wanneer er vervolgens iets fout gaat, zoals het datalek bij de GGD, dan wordt het Nederlandse bedrijf daar door de AP voor verantwoordelijk gehouden, zonder dat gekeken wordt naar de mate van invloed, of het gebrek daaraan, dat zij daarop konden hebben.

Kits benoemt het systeem dat de financiële sector ingesteld heeft, via de Europese bankautoriteit als een mogelijke oplossing. Die instantie voert namens alle banken en verzekeraars onderhandelingen met softwareleveranciers en kan zo de juiste, strenge, eisen stellen aan privacy en digitale veiligheid van producten.

In een reactie op de uitspraken die door het CIO Platform via het FD openbaar gemaakt zijn, laat de AP weten bekend te zijn met het feit dat Amerikaanse clouddiensten lang niet altijd AVG-klaar zijn. De AP noemt het zorgelijk dat de verantwoordelijkheid, en kosten, nu op het conto van de Nederlandse en Europese bedrijven komt. Op dit moment kan de AP dat echter, door capaciteitsproblemen en ontbrekende budgetten, niet oplossen. De bal ligt volgens de AP bij de politiek.