Leeuwendeel Europese bedrijven voldoet niet aan AVG

Vlag van Europa met op de achtergrond diverse vlaggen van EU-lidstaten

De meeste Nederlandse en Europese bedrijven en organisaties voldoen, bijna drie jaar na de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG), nog altijd niet aan de Europese privacywetgeving. Dat komt omdat de Amerikaanse aanbieders van clouddiensten waar ze zaken mee doen de Europese wet- en regelgeving overtreden. Securityexperts vragen aan Brussel om de AVG aan te passen.

Die oproep doet het CIO Platform in het Financieele Dagblad. Het CIO Platform is een groep die bestaat uit de Chief Information Officers (CIO’s) van ruim honderddertig grote bedrijven.

‘Gissen hoe leveranciers met jouw data omgaan’

Techbedrijven als Google, Amazon en Microsoft hebben een flinke vinger in de pap hier in Europa vanwege de clouddiensten die ze hier aanbieden. Veel Nederlandse en Europese bedrijven maken daar gebruik van, bijvoorbeeld om back-ups op te slaan van bedrijfsgevoelige data. Cloudaanbieders maken zodoende een wezenlijk onderdeel uit van het informatiebeveiligingsbeleid die Europese ondernemers hanteren.

Het CIO Platform stelt dat de Amerikaanse techbedrijven die clouddiensten aanbieden hier in Europa niet aan de Europese privacywetgeving voldoen. Dat is deels de schuld van de aanbieders, en deels de schuld van de Europese wetgever. Enerzijds zijn techbedrijven niet open en eerlijk over wat ze met klantdata doen. “Je moet maar gissen hoe de leverancier met jouw data omgaat. Daar krijg je geen zekerheid over”, stelt Arthur Govaert, voorzitter van het CIO Platform.

‘Weeffout in de AVG moet hersteld worden’

Anderzijds staat er in de AVG dat de gebruiker verantwoordelijk is om ervoor te zorgen dat de software die ze gebruiken aan de wet voldoet. Amerikaanse technologiebedrijven geven afnemers niet de mogelijkheid om aan de AVG te voldoen. Het risico is voor Nederlandse en Europese bedrijven. Als de Autoriteit Persoonsgegevens een overtreding constateert, kunnen ze een boete van maximaal twintig miljoen euro opleggen, of vier procent van de wereldwijde omzet.

Govaert vindt dat er een ‘weeffout’ in de AVG zit. “Dat moeten we omdraaien. Niet de gebruiker maar de maker hoort zorg te dragen voor veilige software. De wetgever moet dit echt repareren”, aldus de voorzitter. Ronald Verbeek, directeur van het CIO Platform, pleit ervoor om een deel van de boete bij de softwareleverancier te leggen.

Ze vergelijken de situatie met de auto-industrie: consumenten worden niet aangesproken als blijkt dat de airbag niet goed werkt. Autofabrikanten zijn doordrongen van de wet- en regelgeving en doen er alles aan om daaraan te voldoen.

Bedrijven niet in staat om te onderhandelen met techbedrijven

Govaert, die in zijn dagelijks leven als CIO werkzaam is bij het Radboud UMC, geeft een concreet voorbeeld waaruit blijkt dat grote Amerikaanse techbedrijven de AVG overtreden. Hij stelt dat Microsoft geruime tijd het softwaregebruik en de productiviteit van ziekenhuismedewerkers kon volgen. Pas na ‘grote druk’ van de Nederlandse overheid en anderhalf jaar onderhandelen, wist de regering af te dwingen dat Microsoft voldoende maatwerk en privacybescherming garandeerde bij universitaire ziekenhuizen en overheidsorganen.

Individuele bedrijven hebben niet zo’n sterke onderhandelingspositie als de Nederlandse overheid. CIO Platform directeur Verbeek stelt dat zelfs multinationals vaak alleen maar kunnen dromen van dergelijke afspraken. “Overstappen naar een andere softwareleverancier is zo extreem kostbaar en tijdrovend dat het in de praktijk onmogelijk is”, vertelt hij.

Peter Kits, juridisch IT-specialist bij Deloitte, ondersteunt de stelling van Verbeek. “De komende jaren zullen talloze bedrijven hun data in de cloud opslaan. Dat kun je maar één keer goed doen. Maar de voorwaarden van cloudcontracten zijn doorgaans eenzijdig, door de Amerikaanse software-industrie gedicteerd. Het blijft vaak onduidelijk wat ze met de data van hun klanten doen en of dat niet meer is dan de AVG voorschrijft. De klant moet dat allemaal zelf nagaan en vervolgens aanvullende afspraken maken zonder duidelijke kaders van de wetgever en toezichthouders.”

‘Europese initiatieven worden in de kiem gesmoord’

De Autoriteit Persoonsgegevens zegt tegenover het Financieele Dagblad dat aanbieders van clouddiensten lang niet altijd AVG-klaar zijn. De toezichthouders zou ondernemers graag ontlasten zodat ze niet onnodig veel tijd kwijt zijn aan het uitzoekwerk. “Helaas heeft het kabinet nog altijd geen extra budget beschikbaar gesteld om de capaciteitsproblemen bij de Autoriteit Persoonsgegevens aan te pakken. De bal ligt nu bij de politiek”, zegt een woordvoerder.

Privacyadvocaat Axel Arnbak is niet optimistisch over Europese initiatieven als Gaia-X om een tegenmacht te vormen partijen als Google, Microsoft en Amazon. “Alle initiatieven om iets tegen die marktmacht in te brengen, zoals het project Gaia-X voor een Europese cloud, worden in de kiem gesmoord. Het begint er al mee dat Macron en Merkel ruzie maken over de vraag waar het hoofdkantoor van zo’n nieuw Europees instituut moet komen te staan.”

Techbedrijven: ‘Wij voldoen aan vereisten AVG’

Google laat in een reactie weten dat ‘dataveiligheid aan de kern staat’ hoe het bedrijf zijn producten bouwt en ontwerpt. Microsoft stelt dat ze haar producten en diensten dusdanig ontwikkelt dat ze aan ‘alle geldende wetgeving’ voldoet. Verder geeft het Amerikaanse hard- en softwarebedrijf aan dat het voortdurend investeert om tools, systemen en processen aan te passen ‘als wetgeving dat vereist’. Amazon tot slot zegt dat al haar diensten en functionaliteiten aan de AVG voldoen sinds de introductie van de Europese privacywetgeving.

Update (7 april 2021): Barbara Kathmann van de Partij voor de Arbeid (PvdA) heeft schriftelijke vragen gesteld over de kwestie aan demissionair minister van Justitie en Veiligheid Ferd Grapperhaus. Net als het CIO Platform vindt de politica dat Nederlandse en Europese bedrijven en organisaties een te zwakke onderhandelingspositie hebben om eisen te stellen aan Amerikaanse techbedrijven. Ze wil van de bewindsman horen of hij deze mening al dan niet deelt.

Tevens wil de sociaaldemocraat weten of hij het eerlijk vindt dat Europese partijen zelf verantwoordelijk zijn voor de ‘kosten en inspanning’ die ze moeten leveren om aan de AVG te voldoen. Kathmann vraagt zich af of het niet eerlijker is dat Amerikaanse techgiganten een deel van de verantwoordelijkheid moeten dragen.

Tot slot windt het Tweede Kamerlid van de PvdA er geen doekjes om dat ze vindt dat de Nederlandse overheid een grotere rol zou moeten vervullen om techbedrijven te bewegen om te voldoen aan de Europese privacyregels. Ze wil eveneens weten of minister Grapperhaus horen of hij de mening deelt dat softwarebedrijven alleen toegang tot de Europese markt zouden moeten krijgen als ze aan alle eisen van de AVG voldoen.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen