De EU Data Act zal cloudproviders als Amazon, Microsoft en Google verplichten om illegale datatransfers tussen de EU en non-EU te stoppen. Het wetsvoorstel wordt in de komende maand gepresenteerd. Reuters deelt het nieuws op basis van een document dat het inzag.

De Data Act, een Europees wetsvoorstel, wordt in de komende maand gepresenteerd. Volgens de Europese Commissie werd het wetsvoorstel ontworpen om data transfers tussen Europese bedrijven en overheden te vergemakkelijken en beveiligen. Pas als de Europese Commissie het wetsvoorstel aan het parlement presenteert, kunnen we met zekerheid zeggen wat het wetsvoorstel daadwerkelijk teweeg brengt. De presentatie vindt voor het einde van februari plaats.

Nieuwsorganisatie Reuters zegt een deel van de Data Act gezien te hebben. Volgens Reuters bepaalt de Data Act dat providers die data verwerken ‘alle redelijke maatregelen moeten treffen om te zorgen dat data volgens Europese wetten beveiligd kan worden.’

Wat betekent dat?

Klopt het document van Reuters, dan zijn de gevolgen groot. Recente ontwikkelingen rondom Google Analytics zijn een goed voorbeeld. Google verplaatst persoonsgegevens (data) van de EU naar de VS. De GDPR bepaalt dat Europese persoonsgegevens altijd volgens Europese wetten beveiligd moeten worden – ook wanneer de gegevens buiten de EU worden verwerkt.

Het probleem is dat ook Amerikaanse wetten gelden wanneer Google gegevens in de VS verwerkt. Een van de wetten bepaalt dat inlichtingendiensten altijd toegang moeten hebben tot gegevens die in de VS worden verwerkt. Dat is in strijd met de GDPR.

Google overtreedt de GDPR om een Amerikaanse wet te volgen. Dat overschrijdt een grens, maar daar komt de organisatie op dit moment mee weg. De grootste verantwoordelijkheid ligt bij gebruikers van Analytics. Volgens het document van Reuters schudt de Data Act de boel op.

Google zou ‘alle redelijke maatregelen moeten treffen om te zorgen dat data volgens Europese wetten beveiligd kan worden.’ Dat is een breed begrip, maar betekent dat de EU een flink aantal voorwaarden kan stellen aan diensten die data verwerken. Google — maar ook Amazon, Microsoft en andere partijen — zouden verplicht kunnen worden om drastische beleidswijzigingen door te voeren.

Organisaties die hun diensten gebruiken blijven medeverantwoordelijk voor privacybescherming, maar de verantwoordelijkheid van providers vergroot.

Ver van huis

We willen benadrukken dat het bericht van Reuters pas is te bevestigen wanneer de Data Act wordt gepresenteerd. Zelfs als het bericht blijkt te kloppen, kan het maanden of jaren duren voordat er iets verandert. Eerst moeten Europese lidstaten en het Europese parlement het voorstel goedkeuren. Vaak wordt een wetsvoorstel herhaaldelijk gewijzigd voordat alle partijen tevreden zijn. Er is geen garantie dat het eerste concept vergelijkbaar is met de uiteindelijke wet.