Valt een datacentrum in de ruimte onder de AVG?

pencilparker / Pixabay

Waarom een datacenter in de ruimte een interessant idee is, kopte AG Connect onlangs. Koeling is iets minder een issue, energietoevoer gaat ook wel goed maar kosmische straling is iets meer een dingetje en even een monteur langs sturen om de server te powercyclen is geen optie. Maar dat zijn engineering problems my friends dus daar komen we wel uit. Iets lastiger is de juridische vraag: onder welk recht valt zo’n datacenter, en met name is de AVG dan van toepassing op wat daar gebeurt?

Lange tijd was ruimte-exploratie een zuivere overheidstaak, en dan zijn dit soort dingen iets minder van belang. Maar sinds de opkomst van private, vaak commerciële ruimtevaart krijg je natuurlijk ook meer juridische vragen: aansprakelijkheid, strafbaarheid of zoals hier gegevensverwerking. In principe zijn die vragen te herleiden tot “welk recht geldt in de ruimte”, omdat je daarna in dat wetboek gewoon het antwoord opzoekt. De ruimte is ook maar gewoon een grens, volgens sommigen de laatste grens maar toch.

Het recht begint bij internationale verdragen, en hier kom je dan uit bij het Outer Space Treaty (OST) dat al in 1967 aangenomen werd. Men voorzag destijds al de optie dat anderen dan statelijke actoren zelf ruimte-activiteiten zouden ontplooien, en daarom bepaalt artikel VI van het verdrag dat

States Parties to the Treaty shall bear international responsibility for national activities in outer space, including the moon and other celestial bodies, whether such activities are carried on by governmental agencies or by non-governmental entities, and for assuring that national activities are carried out in conformity with the provisions set forth in the present Treaty.
Oftewel: tussen de landen onderling geldt dat je als staat verantwoordelijk bent voor wat jouw burgers in de ruimte uitspoken, of ze dat nou namens de overheid of als private actoren doen. Dat is een heel brede norm, maar het universum is groot, enorm en ingewikkeld en belachelijk, dus veel meer kun je niet doen. En de truc is natuurlijk dat ieder land dan zelf regels stelt (“by your command” te accepteren, zoals dat heet) over hoe het met aansprakelijkheid en dergelijke zit – of gewoon verbiedt dat je de ruimte in gaat vanaf haar territorium.

In Nederland hebben we daarom de Wet ruimtevaartactiviteiten, die (art. 2) geldt voor ruimtevaartactiviteiten die worden verricht in of vanuit Nederland dan wel op of vanaf een Nederlands schip of Nederlands luchtvaartuig. De regel is simpel: zonder vergunning is het abort mission right away. Het Agentschap Telecom geeft die uit, iets dat ik zelf ook niet wist.

In die vergunning worden dan regels opgenomen over bijvoorbeeld je aansprakelijkheid of grenzen aan wat je wel of niet mag doen. Expliciet daarbij is een eis dat je goed verzekerd bent voor de gevolgen. En dat is maar goed ook, want als er een claim komt op Nederland (op grond van artikel VI OST) dan mag de staat die volledig verhalen op de organisatie.

Nederland is lid van het OST, maar de Europese Unie an sich niet. Nu is de AVG natuurlijk een Europese wet, maar zo’n wet (een Verordening) maakt gewoon deel uit van het Nederlands recht en zou daarmee via bovengenoemde route in te roepen moeten zijn tegen een partij die vanuit Nederland een datacentrum in de ruimte opereert.

Krijg je de volgende vraag: is er sprake van een verwerking binnen de scope van de AVG, als een DC in sp-a-a-a-ce persoonsgegevens door een of ander geautomatiseerd proces heen haalt. Nou ja, verwerking is het: iedere “bewerking of een geheel van bewerkingen” is per definitie (art. 4 lid 2 AVG) een verwerking. Die verwerking vindt dus plaats in de kosmische ruimte, waardoor vele blogs en analyses concluderen dat de AVG er niet op van toepassing is.

De AVG kiest alleen niet als insteek “waar de persoonsgegevens worden geanalyseerd en de computer vervolgens I can’t do that” zegt, maar de plek waar de verwerkingsverantwoordelijke gevestigd is (art. 3 AVG):

1. Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt.

  1. Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, (…)
Dus stel het bedrijf dat het kosmisch DC (of beter: een systeem dat draait in dat DC) exploiteert zit in Nederland, dan is volgens lid 1 simpelweg de AVG van toepassing. Zit het bedrijf buiten Nederland (de EU) dan kom je er via lid 2 ook, want ook hier is niet vereist dat de verwerking in de EU plaatsvindt. Handhaving is natuurlijk lastig, maar niet lastiger dan wanneer het DC in zeg India staat.

Een voor mij veel lastiger vraag is of het wel mag, die data overbrengen naar een DC in de ruimte. Telt dat bijvoorbeeld als een doorgifte naar een niet-EU land? Doorgifte gaat namelijk over landen, niet over vestigingsplaatsen van een verwerkingsverantwoordelijke. Ik zou als Nederlands bedrijf bijvoorbeeld bij een datacenter in India een server kunnen huren en daar verwerkingen op uitvoeren. Dan is sprake van een doorgifte naar een derde land, ondanks dat er geen derde partij (zoals een Indiase dochter van mijn bedrijf) bij komt kijken.  Het lijkt erop dat de ruimte geen derde land is, zodat hier geen AVG-bezwaren tegen bestaan.

Arnoud