Drie jaar na invoering van de strenge Algemene Verordening Gegevensbescherming voldoen de meeste Europese bedrijven nog altijd niet aan de regels, zo schrijft het FD. Vooral de afhankelijkheid van andere bedrijven, met name clouddiensten, maakt dat moeilijk.

Bedrijven worden in toenemende mate afhankelijk van bedrijven als Amazon, Google en Microsoft. En die laten zich moeilijk ‘dwingen’ om zich aan bepaalde regels te houden, zeggen Nederlandse gegevensbeveiligers van ruim 180 grote bedrijven. Zij hebben zich verenigd in het CIO Platform, dat pleit voor wetgeving, zodat de zogenoemde techreuzen hun diensten alleen nog in Europa mogen aanbieden, als zij zelf aan de AVG voldoen.

Onduidelijk
Het is volgens voorzitter Arthur Govaert van het CIO Platform onduidelijk hoe de techreuzen met data omgaan. Aan hun dienstverlening valt vrijwel niet meer te ontkomen, maar bij een datalek riskeren gebruikers een boete van 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Govaert vindt dat niet de gebruiker, maar de leverancier van de diensten verantwoordelijk gesteld moet worden. Zelf is hij gegevensbeveiliger bij het Radboud Ziekenhuis en merkte hij destijds dat Microsoft het softwaregebruik door artsen en verplegers kon volgen. Pas na anderhalf jaar onderhandelen werd dat beëindigd. Dat was zonder druk vanuit de overheid niet gelukt. Afscheid nemen van Microsoft had te ingrijpende gevolgen gehad.

Miljoenen
IT-jurist Peter Kits van Deloitte wijst erop dat cloud-contracten doorgaans eenzijdig zijn en gedicteerd worden door de Amerikaanse software-industrie. De gebruiker moet zelf voor elkaar zien te krijgen dat het gebruik van de diensten AVG-compliant is, maar mist daarvoor de door toezichthouders vereiste onderhandelingspositie. Bovendien kan het traject bedrijven miljoenen kosten. Dat merkte ook Paul van den Berg, die namens de Rijksoverheid de strijd moest aanbinden met Microsoft. Die strijd is gewonnen, omdat de overheid over de vereiste miljoenen beschikte en de wetgever achter zich had. Die luxe hebben bedrijven niet. Ook multinationals niet. Alleen banken maken kans, omdat die de Europese bankautoriteit aan hun kant hebben. Bedrijven zouden op de Autoriteit Persoonsgegevens moeten kunnen rekenen, maar die verklaart te weinig mensen en te weinig geld te hebben.

De techreuzen verklaren in een reactie de AVG na te leven. Google noemt databeveiliging de kern van alle producten en Microsoft zegt dat elk product en elke dienst zo wordt ontwikkeld, dat deze aan alle geldende wetgeving voldoen. De bedrijven beloven hun producten continu aan te passen, als veranderende wetgeving dat vereist.