Schrödingers data
Kent u Schrödingers cat? Het is nogal luguber, en gelukkig een gedachte-experiment, maar het komt hierop neer: Een kat zit in een doosje. Je ziet de kat niet. In het doosje zit een stof die op een onbekend moment wordt vrijgelaten waar de kat aan overlijdt. De kat is dan zowel dood als levend zolang als de doos dichtzit.
Wat heeft dat met data te maken?
We weten allemaal inmiddels wel (hoop ik), dat Amerika wetgeving heeft waardoor zij, ongeacht het land waar het opgeslagen is, data mogen opvragen. Dat doen zij zonder tussenkomst van Europese rechters. U mag het woord Amerika ook vervangen voor China en vast nog flink wat andere landen. Voor nu, Amerika.
De vraag is dus: Moet ik zorgen dat data en met name persoonsgegevens, niet bij een Amerikaanse leverancier staan? Of heeft Amerika de gegevens al en is het te laat?
Het antwoord is makkelijk als het u allemaal niets kan schelen, maar dan was u dit niet aan het lezen. Het antwoord is moeilijker als u persoonsgegevens van klanten verwerkt. Want dan besluit u dat het wel oké is dat Amerika die persoonsgegevens heeft wanneer u voor een Amerikaanse leverancier kiest.
Laten we aannemen dat u fatsoen hebt en het niet oké vind. Een gezonde instelling wat mij betreft.
Gaat u ervan uit dat Amerika uw gegevens nog niet heeft? Bijvoorbeeld omdat u denkt dat uw leverancier het meldt wanneer zij een aanleveringsverzoek krijgen? Want dat hebben ze immers beloofd.
Slecht nieuws, want bij een dergelijk verzoek zit een NDA. Met andere woorden, zij mogen het u niet laten weten.
Heeft Amerika uw data nu wel of niet? Schrödingers data dus. U weet het niet. En precies dat is verboden. U hoort dat te weten.
Conclusie
Haal het er gewoon weg, of beter nog, zet het er niet neer. Naast dat het helemaal niet conform AVG is, is het met NIS2 natuurlijk helemaal een risico. Vanaf dat moment is een bestuurder hoofdelijk aansprakelijk voor o.a. datalekken. En niet weten waar persoonsgegevens allemaal staan, is een datalek. U kan zomaar een klant hebben die het er echt niet mee eens is. En dan is een 100% Europese leverancier helemaal niet zo duur.
Even aftikken
Voordat hij weer komt: Kun je concreet een voorbeeld geven waarbij het een probleem was dat een overheid te veel wist?
Zoals zo vaak met informatie. Net nadat het te laat is begrijpen we dat het beter was als we het niet gedeeld hadden.
De toeslagenaffaire is wel een voorbeeld van hoe het mis kan gaan met data. Ook kan een overtuiging die in Nederland legaal is, in een ander land illegaal zijn.
Maar waarom zouden ze die data opvragen?
Informatie is belangrijk. In de zoektocht naar terroristen kun je er niet genoeg van hebben. De database van bijvoorbeeld Loket bevat persoonsgegevens (de hele salarisadministratie) van 1,5 miljoen mensen. Handig toch?
Het is niet raar als u nu denkt:"Maar hoe hebben wij dat geregeld?". Weet dat wij u graag helpen.