Bedrijven slaan veel data op ‘in de cloud’. Daarvoor zijn zij afhankelijk van Amerikaanse techmonopolisten.

In het kort

  • De AVG is bijna drie jaar van kracht, maar de meeste Europese bedrijven voldoen er nog altijd niet aan.
  • Bedrijven wijzen erop dat ze afhankelijk zijn van clouddiensten en software-aanbieders die hen niet altijd in staat stellen de regels na te leven. Hun onderhandelingspositie tegenover leveranciers als Microsoft, Google en Amazon is niet sterk.

De meeste Nederlandse en Europese bedrijven en organisaties voldoen nog altijd niet aan de Europese privacywet AVG, die al bijna drie jaar van kracht is. Die bekentenis doen de Nederlandse chief information officers van ruim honderddertig grote bedrijven, verzameld in het CIO Platform.

Een belangrijke oorzaak is hun massale gebruik van clouddiensten van Amerikaanse leveranciers als Google, Amazon of Microsoft. Zij stellen de gebruikers van hun software te vaak niet in staat de Europese regels na te leven en zijn niet transparant over wat ze doen met hun klantdata. Het CIO Platform roept in het FD de wetgever op ervoor te zorgen dat de softwareleveranciers hun producten alleen aan de EU-markt mogen leveren als zijzelf de AVG-eisen naleven.

Kosten voor Europese bedrijven
Nu komen de inspanningen en kosten daarvoor bijna volledig op het bord van Europese bedrijven, terwijl die in hoge mate afhankelijk zijn van de Amerikaanse techmonopolisten en tegenover hen nauwelijks een onderhandelingspositie hebben, zegt voorzitter Arthur Govaert van het Platform: ‘Je moet maar gissen hoe de leverancier met jouw data omgaat. Daar krijg je geen zekerheid over.’

De risico’s die de Nederlandse bedrijven lopen zijn in theorie groot: de toezichthouder Autoriteit Persoonsgegevens (AP) kan een AVG-overtreding beboeten met €20 mln of 4% van de wereldwijde jaaromzet. ‘Waarom wordt een deel van de boetes niet gelegd bij de softwareleverancier als duidelijk is dat daar een deel van de oorzaak ligt?’ aldus directeur Ronald Verbeek van het Platform.

Govaert, tevens cio bij ziekenhuis Radboudumc, spreekt van een ‘weeffout’ in de AVG. ‘Dat moeten we omdraaien. Niet de gebruiker maar de maker hoort zorg te dragen voor veilige software. De wetgever moet dit echt repareren.’

De bestuurders trekken de vergelijking met de auto-industrie. De consument kan niet worden aangesproken op een slecht functionerende airbag of autogordel. Autofabrikanten zijn doordrongen van de wettelijke eisen en laten het wel uit hun hoofd om daar mee te sjoemelen.

Softwaregebruik gevolgd
Govaert noemt als voorbeeld zijn eigen artsen en verplegers, wier softwaregebruik en productiviteit vanuit de VS bleek te kunnen worden gevolgd door leverancier Microsoft. Pas na grote druk van de Nederlandse overheid en een onderhandelingstraject van anderhalf jaar wist die het vereiste maatwerk af te dwingen om voldoende privacybescherming te garanderen voor ministeries, universitaire ziekenhuizen en een reeks overheidsorganen.

Individuele bedrijven, zelfs in de categorie multinational, missen echter een dergelijke onderhandelingspositie en kunnen alleen maar dromen van dergelijke afspraken, benadrukt Verbeek. ‘En overstappen naar een andere softwareleverancier is zo extreem kostbaar en tijdrovend dat het in de praktijk onmogelijk is.’

Data in de cloud
Hij krijgt bijval van Peter Kits, specialist op het gebied van IT-recht bij consultant Deloitte. ‘De komende jaren zullen talloze bedrijven hun data in de cloud opslaan. Dat kun je maar één keer goed doen. Maar de voorwaarden van cloudcontracten zijn doorgaans eenzijdig, door de Amerikaanse softwareindustrie gedicteerd. Het blijft vaak onduidelijk wat ze met de data van hun klanten doen en of dat niet meer is dan de AVG voorschrijft. De klant moet dat allemaal zelf nagaan en vervolgens aanvullende afspraken maken zonder duidelijke kaders van de wetgever en toezichthouders.’

Hij ziet in de praktijk hoe organisaties hierdoor in de problemen komen: ‘Het gaat veel vaker mis dan je denkt. En bij een incident zeggen de toezichthouders tegen de gebruiker dat hij dan maar beter had moeten onderhandelen.’

Datalek GGD
Als voorbeeld noemt Kits de GGD, die het recente datalek bij het testen in de schoenen geschoven kreeg. Er zat een exportfunctie in het systeem, waardoor persoonsgegevens op straat kwamen te liggen. ‘Niemand vroeg zich af waarom zo’n functionaliteit überhaupt bij het ontwerp mogelijk is gemaakt.’

Het kost volgens zijn inschatting bedrijven ‘miljoenen om iedere keer na te gaan of je wel compliant bent.’

Paul van den Berg dwong als voormalig ‘strategic vendor manager’ bij het Rijk verregaand AVG-maatwerk af in de contractonderhandelingen met Microsoft. Volgens hem is het echter ‘kansloos voor individuele bedrijven om soortgelijke concessies te krijgen. De enige reden dat het ons is gelukt is dat we er miljoenen tegenaan konden gooien en dat Microsoft te maken had met de wetgever.’

Van den Berg trekt de vergelijking met de auto door: ‘Als automakers een nieuw model op de EU markt willen uitbrengen moeten ze eerst crashtests doen. In de softwarewereld moet je als gebruiker zelf maar als eerste met je auto tegen een muur rijden om te ontdekken of het veilig is.’

Een uitzondering, zo geeft Kits aan, vormt de financiële sector dankzij de Europese bankautoriteit. Deze instantie onderhandelt namens alle banken en verzekeraars met softwareleveranciers. Daardoor kunnen ze stevige eisen stellen aan digitale veiligheid in de producten.

Axel Arnbak, de in privacywetgeving gespecialiseerde advocaat bij de Brauw, ziet eveneens een weeffout in de wet: ‘We weten al heel lang dat de meeste grote softwaremakers niet AVG-compliant zijn. Maar de AVG is slechts een afgeleide van een hardnekkiger probleem: de onbalans tussen softwaremaker en afnemer is een mededingingsissue. En de mededingingswaakhonden hebben jarenlang liggen slapen.’

Capaciteitsproblemen AP
De privacytoezichthouder AP erkent in een reactie dat clouddiensten uit de VS lang niet altijd AVG-klaar zijn, en noemt het ‘zorgelijk’ dat ondernemingen daar zo veel uitzoekwerk aan hebben. De toezichthouder zegt hen graag te willen ‘ontlasten’. ‘Helaas heeft het kabinet nog altijd geen extra budget beschikbaar gesteld om de capaciteitsproblemen bij de AP aan te pakken. De bal ligt nu bij de politiek.’

Arnbak is niet erg optimistisch dat Europa in staat is de verhoudingen te verbeteren. ‘Alle initiatieven om iets tegen die marktmacht in te brengen, zoals het project Gaia-X voor een Europese cloud, worden in de kiem gesmoord. Het begint er al mee dat Macron en Merkel ruzie maken over de vraag waar het hoofdkantoor van zo’n nieuw Europees instituut moet komen te staan.’

Reactie softwareleveranciers
Amazon stelt in een reactie de komst van de AVG te hebben verwelkomd, en zegt die sinds 2018 na te leven met al haar diensten en functionaliteiten. Google laat via een woordvoerder weten dat ‘dataveiligheid aan de kern staat van hoe we onze producten ontwerpen en bouwen’. Ook Microsoft zegt er altijd voor te zorgen dat zijn producten en diensten zó zijn ontwikkeld dat ze voldoen aan alle geldende wetgeving. ‘Daar is Microsoft toe verplicht en die verplichting komt het na. Omdat wetgeving als AVG complex is en continu verandert, blijft Microsoft investeren in het aanpassen van tools, systemen en processen als wetgeving dat vereist.’

Originele link van het artikel: https://fd.nl/economie-politiek/1379255/meerderheid-nederlandse-bedrijven-voldoet-na-drie-jaar-nog-niet-aan-privacywet-gfd1caqHBpms