Europese bedrijven en dataopslag in Europa zijn niet immuun voor niet-Europese wetgeving, zoals de Amerikaanse CLOUD Act. Ook data en persoonsgegevens die in de Europese Unie (EU) worden verwerkt en opgeslagen, en dus in beginsel in Europa blijven, vallen in sommige gevallen onder de Amerikaanse wetgeving. Deze data kunnen soms dan ook worden opgevraagd bij Europese bedrijven.
Dit concludeert het advocaten Greenberg Traurig in een analyse van de CLOUD Act in opdracht van het Nationaal Cyber Security Centrum (NCSC). Het advocatenkantoor keek specifiek naar de extraterritoriale werking van de CLOUD Act in Europa, waarbij is ingezoomd op de werking binnen de EU. In een blog zet Paul van den Berg, Strategic Vendor Relations Cybersecurity bij het NCSC, de bevindingen van Greenberg Traurig uiteen.
Extraterritoriale invloeden vaststellen is moeilijk
Uit de analyse blijkt dat het heel lastig is voor een gegevenseigenaar of verwerkingsverantwoordelijke om vast te stellen of er bij een dienst of dienstverlener sprake is van extraterritoriale invloeden van niet-Europese wetgeving. Zo wordt dit niet alleen bepaald door verschillende factoren bij de leverancier, maar ook van de toeleveringsketen en de bedrijven die in deze keten actief zijn. Het vaststellen van extraterritoriale invloeden van niet-Europese wetgeving vraagt volgens Van den Berg dan ook om ‘gedegen risicoanalyses maar ook om het besef dat het feitelijk niet goed mogelijk is extraterritoriale invloeden volledig uit te sluiten’.
Naar verwachting gaat de inzet van extraterritoriale wetgeving de komende jaren verder groeien, zeker op digitaal gebied. Hierdoor neemt ook de complexiteit in de praktische toepassing en naleving van dergelijke wetgeving verder toe. “Organisaties en bedrijven moeten zich daarbij steeds afvragen tegen welke extraterritoriale wettelijke regimes, en daarmee landen, zij zich wel en niet willen en kunnen wapenen en wat dat precies betekent in termen van leverancierskeuze en de inzet van aanvullende beheersmaatregelen. In termen van compliance betekent het echter ook dat bedrijven en organisaties feitelijk steeds minder goed kunnen garanderen of zeker stellen dat de informatie die zij verwerken voldoende beschermd is tegen het inzien door vreemde, een niet-Europese, mogendheden”, schrijft Van den Berg op het blog van NCSC.
‘Belangrijk aandachtspunt’
Petra Claessen, CEO van BTG en BTG Services: “De analyse van Greenberg Traurig geeft een interessant inzicht in de risico’s die verbonden zijn aan extraterritoriale invloeden van niet-Europese wetgeving. De CLOUD Act is hiervan een voorbeeld. Ook indien bedrijven data en persoonsgegevens in de EU opslaan én verwerken, en gegevens dus Europa nooit verlaten, kunnen zij onder Amerikaanse wetgeving vragen en door de Amerikaanse overheid worden opgevraagd. Een belangrijk aandachtspunt dat kan worden meegenomen bij het selecteren van de juiste leverancier en inzet van aanvullende maatregelen.”
De analyse van Greenberg Traurig is hier te vinden. Lees de volledige blogpost van Paul van den Berg hier.