Zoek alternatieven voor Amerikaanse leveranciers, zo knalde Emerce erin begin deze week. Het Nederlandse en hele Europese bedrijfsleven schendt immers op grote schaal de AVG omdat ze nog steeds met Amerikaanse dienstverleners werkt. Sinds het Schrems II arrest is dat, hoe zeg je dat netjes als jurist, hartstikke illegaal. En ik snap best dat je nog even wil wachten om te zien wat toezichthouders precies gaan zeggen, maar je hebt natuurlijk wel een migratieplan klaar liggen voor zodra ze “U mag nu stoppen” gaan zeggen. Toch? Want dat gaan ze.
“Er is geen uitzicht op een nieuw Privacy Shield. Alle partijen die op Amerikaanse servers data opslaan schenden Europese privacyregels.” Zo citeert men JetStream-directeur Stef van der Ziel, die precies de vinger op de zere plek legt. Het probleem met de Amerikaanse cloud is al zo oud als de cloud; Amerikaanse wetgeving over snuffelen in persoonsgegevens botst op fundamentele manier met de Europese grondrechten. We hadden ooit de pretentie dat het Safe Harbor-arrest dat op zou lossen: Amerikaanse bedrijven beloven dat ze zich aan de Europese regels houden – behalve als ze wat anders moeten van Amerikaanse wetgeving.
En dat moesten ze, zo onthulde Edward Snowden enkele jaren terug. Safe Harbor sneuvelde dan ook, en het Privacy Shield werd ingevoerd met extra waarborgen en een ombudsman om het nu écht te regelen. Maar het uiteindelijke probleem blijft: Amerikaanse diensten mogen bij persoonsgegevens die in de VS zijn opgeslagen, ongeacht de Europese regels daarover. Dat weten we uit het Schrems II-arrest, waarin het Hof van Justitie net als in Schrems I (het Safe Harbor agreement) bepaalde dat het gewoon echt niet kan, zoals het werkt. (En nee, ook niet als je met SCC oftewel modelclausules gaat werken.)
De impact van de Amerikaanse cloud is echter te groot, zodat niemand echt de eerste stap durft te nemen. Want je zet jezelf op achterstand, als je concurrent wél met Google Analytics blijft werken en jij Matomo of Piwik moet gaan opzetten en vervolgens overal compatibiliteitsproblemen tegen gaat komen. Dus overstappen per direct is inderdaad nogal veel gevraagd.
Ik zie echter geen reden om dan maar te blijven zitten en niets te doen. Inventariseer op zijn minst welke alternatieven er zijn en wat je nodig hebt om die werkend te krijgen. Doe eens een pilot met Matomo, zoek een Europees nieuwsbriefbedrijf en kijk of je écht die twintig trackers op je website nodig hebt. Dan heb je dat maar gedaan, weet je wat de impact gaat zijn en kun je dán besluiten wanneer je gaat migreren. Misschien wel sneller dan je denkt, want “wij werken volledig Europees” begint langzaam maar zeker een marketingvoordeel te worden.
Arnoud