Amerikaanse bedrijven en privacy, wees er als ondernemer alert op

Dat stelt bedrijven voor een lastig probleem, zegt IT-advocaat en NoordZaken-expert Koen Konings.

Amerikaanse diensten verwerken onze persoonsgegevens vaak buiten Europa. Dat staat op gespannen voet met privacyrechten. De Europese Unie verdedigt deze voor haar onderdanen met vele regels. De EU vindt namelijk dat buiten haar grenzen maar weinig controle is op hoe zorgvuldig en rechtmatig men met de gegevens omgaat.

Van de VS weten we dat ze (on)behoorlijk veel persoonsgegevens verwerken in het kader van surveillance en spionage, onder meer door de onthullingen van Edward Snowden.

Dankzij de sterke lobby door de Verenigde Staten kregen Amerikaanse IT-bedrijven toch telkens weer een vrijbrief om gemakkelijk met Europese persoonsgegevens te werken. Eerst op basis van de Safe Harbor Principles en – nadat die ongeldig werden verklaard – op grond van het EU-US Privacy Shield.

De hoogste rechter van de Europese Unie zette in juli 2020 ook een dikke streep door deze regeling. Het toevertrouwen van persoonsgegevens aan Amerikaanse partijen mag dus niet zonder meer.

Bedrijven in Europa weten nu niet goed waar ze aan toe zijn. Ze weten dat het gebruik van sommige diensten eigenlijk niet meer door de beugel kan, maar veel systemen en processen zijn er nog wel van afhankelijk. Zomaar stoppen kan eigenlijk niet, maar met de onrechtmatigheid doorgaan is ook geen optie.

Het hoofd in het zand steken is doorgaans geen goede optie. Maar ook juridische experts konden tot op heden maar moeilijk duiden wat de ongeldigheid voor de alledaagse praktijk betekent. Een aantal praktijkgevallen boden hier meer duidelijkheid.

Zo kwam kortgeleden het Amerikaanse bedrijf Mailchimp in het nieuws. Het is één van de vele populaire leveranciers van marketingsoftware in de cloud. Mailchimp-gebruikers kunnen met het online-programma nieuwsbrieven en mailings naar klanten sturen.

Ook in Nederland is Mailchimp ongekend populair. Het heeft alleen geen vestiging in Europa en verwerkt gegevens ook nog eens buiten de zogeheten Europese Economische Ruimte (EER). Sinds die uitspraak van juli 2020 weten wij dat dit niet zomaar mag.

De Beierse autoriteit persoonsgegevens heeft een klacht behandeld over de doorgifte van e-mailadressen aan Mailchimp. De autoriteit kwam tot het oordeel dat het Duitse bedrijf dat Mailchimp gebruikte, niet goed had onderzocht welke aanvullende maatregelen nodig waren voor data-export. Deze extra maatregelen waren ook niet genomen.

Daarom mochten de persoonsgegevens – met name e-mailadressen – niet naar de VS geëxporteerd worden. Het Duitse bedrijf is gestopt met het gebruik van Mailchimp.

Gezien de recente ontwikkelingen is het dus tijd om in kaart te brengen welke datastromen en persoonsgegevens van je organisatie via een andere partij buiten de EER terecht komen. Loop dus al je (digitale) toeleveranciers goed na op dit vlak.

Denk goed na of je misschien maatregelen moet nemen om te voorkomen dat gegevens op Amerikaanse servers terechtkomen. Zorg ervoor dat je weer gerust kunt ademhalen. En misschien kom je er dan achter dat je een andere dienstverlener moet zoeken.