Steven Ras, ICT-jurist bij ICTRecht, beantwoordt lezersvragen om u zo goed mogelijk door het doolhof van wet- en regelgeving te leiden. De lezersvraag luidt deze keer: ‘ Waar moet ik rekening mee houden als ik mijn webwinkel wil hosten bij een Amerikaanse cloud provider ?’
Tekst: Steven Ras
Als webwinkelier heeft u met veel juridische vraagstukken te maken. Daarom beantwoordt Steven Ras, ICT-jurist bij ICTRecht, in deze rubriek concrete lezersvragen om u zo goed mogelijk door het doolhof van wet- en regelgeving te leiden. De lezersvraag van deze maand is: ‘Waar moet ik rekening mee houden als ik mijn webwinkel wil hosten bij een Amerikaanse cloud provider?’
Om ervoor te zorgen dat persoonsgegevens van Europese burgers goed beschermd blijven, is het volgens die regels niet toegestaan om de persoonsgegevens zomaar te exporteren naar landen buiten de Europese Unie. De wet eist expliciete toestemming.Export van persoonsgegevens vanuit Nederland naar andere landen mag volgens de Europese privacyregels alleen als dat land een ‘passend beschermingsniveau’ waarborgt voor die gegevens. Wat dat niveau precies inhoudt, is voor discussie vatbaar; dat de Verenigde Staten er niet aan voldoen is wel duidelijk. Als webwinkel heeft u dus een probleem als u persoonsgegevens van uw klanten opslaat op een server in de Verenigde Staten.
Veilige haven
Gelukkig bestaat de ‘Safe Harbor’ regeling. De Amerikaanse cloud provider kan zich aansluiten bij het zogeheten Safe Harbor-framework en belooft daarmee dat hij zich aan de strenge Europese regels zal conformeren. Als het bedrijf is aangesloten bij het Safe Harbor-framework, mag u de persoonsgegevens van uw klanten vanuit de Europese Unie bij dit bedrijf opslaan. Het Amerikaanse Ministerie van Handelszaken publiceert een lijst van bedrijven die zijn aangesloten bij het Safe Harbor-framework.
Expliciete toestemming
Een andere optie om de persoonsgegevens van uw klanten bij een Amerikaanse cloud provider onder te brengen is de klanten expliciet en ondubbelzinnig akkoord te laten gaan met opslag van hun gegevens in de Verenigde Staten. De wet biedt daarvoor namelijk een uitzondering. Een dergelijke toestemming kan niet via een privacyverklaring of via de algemene voorwaarden worden bedongen, maar moet apart en expliciet worden gevraagd.
Strikt noodzakelijk
Ook als ‘de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst’ mag u de persoonsgegevens van uw klanten naar de Verenigde Staten sturen. Maar dit is niet hetzelfde als ‘wij hosten in de Verenigde Staten dus het moet naar de Verenigde Staten’. Hierbij moet u vooral denken aan zaken als ‘deze mail moet worden afgeleverd bij een Gmail-gebruiker, dus ik moet het e-mailadres wel aan de mailserver van Google.com geven’.
Niet toegankelijk
Wellicht is het nog het overwegen waard om uw systeem zo op te zetten dat de Amerikaanse cloud provider niet bij de persoonsgegevens kan, organisatorisch of technisch. Als hij de persoonsgegevens niet kan lezen, dan is er formeel namelijk geen sprake van verwerking van persoonsgegevens. Volgens sommige juristen blijft dit een probleem, omdat de Amerikaanse antiterrorismewetgeving te brede bevoegdheden geeft aan de FBI en inlichtingendiensten om te grasduinen in gegevens van Amerikaanse bedrijven.
____________________
Stel uw vraag
Steven Ras is ICT-jurist bij ICTRecht. In deze rubriek gaat hij in op de juridische aspecten van webwinkels. Daarbij hebben de lezers de mogelijkheid om per e-mail vragen te stellen. Stel een vraag aan Steven Ras via s.ras@ictrecht.nl.
____________________
Dit artikel verscheen eerder in Twinkle 10-2012.
Er zijn wel regels voor het werken met een cloud, maar volgens mij zijn ze vooral gedoogd, waardoor het niet heel veel uitmaakt wat je doet.
Internet en juridische vraagstukken zijn eigenlijk een vraagstuk opzich. Er zijn nog zoveel onduidelijkheden en het lijkt er ook op dat ontzettend veel nog gewoon gedoogd is.