Nadat in 2016 (CJEU, Schrems I) een soortgelijk verdrag (bekend als ‘Safe Harbor’) niet safe bleek te zijn – de Amerikaanse overheid wil per definitie overal aan kunnen komen – is daarvoor in de plaats het Privacy Shield gekomen.
We weten dat onder de US-staatsveiligheid ook gewone commerciële belangen vallen, denk hierbij aan patenten in voorbereiding door EU-bedrijven, die ineens als geregistreerd voor Amerikaanse concurrenten opduiken. Dat is makkelijk geld verdienen.
De software license-wereld registreert veel gegevens van eindgebruikers, zoals de naam, het mailadres en telefoonnummers. Dit zijn data die conform GDPR/AVG als privacygevoelig gedefinieerd zijn. Op grond van Schrems II is het delen van deze informatie met organisaties buiten de EU niet toegestaan. Vanwege bestaande US-wetgeving (en intenties) is het niet te verwachten dat reparatie van het Privacy Shield mogelijk is.
Hoe nu verder met het registreren van eindgebruikers? Laten we naar de toekomst kijken en bedenken of we eigenlijk wel willen dat dit soort gegevens bij grote commerciële partijen en/of buitenlandse overheden terechtkomen. Het antwoord lijkt duidelijk: de grootschalige data leaks van de afgelopen jaren hebben duidelijk gemaakt dat deze vorm van informatiedelen helemaal niet zou moeten plaatsvinden.
Virtueel persoon
De oplossing is voor de schaal waarop software licensing gedaan wordt niet zo moeilijk: definieer binnen het bedrijf een virtueel persoon op wiens naam de licenses geregistreerd worden.
Wanneer de bedrijfspolicy fictieve identiteiten verbiedt, wordt het tijd om of de GDRP/AVG-regelgeving te implementeren, of alle werknemers te laten tekenen dat hun gegevens verspreid mogen worden (dit heet ‘contracting’, nog wel toegestaan conform Schrems II), of om de bedrijfspolicy aan te passen. Op deze manier kunnen voor het door externe partijen afgedwongen verstrekken van GDPR/AVG gevoelige zaken wel fictieve identiteiten gebruikt worden.
Overigens passen, ondanks lokale wetten ter bescherming van de privacy van hun eigen burgers, overheden het trucje toe dat kinderen op de lagere school al kennen: laat mij jouw snoepje zien, dan laat ik jou mijn snoepje zien. Oftewel, de veiligheidsdiensten bespioneren voor elkaar burgers van andere landen, want tja, hun eigen burgers zijn wettelijk ‘beschermd’.