De Brexit is zonder twijfel slecht gevallen in de Britse it-sector. Binnen deze branche stemde maar liefst 87 procent tegen een vertrek uit de EU, zo bleek uit een representatief onderzoek. Daar hebben ze alle reden toe: met een vertrek uit de EU vervallen ook de strenge privacyregels van de gloednieuwe General Data Protection Regulation (GDPR). Dat is voor bedrijven die daar hun data parkeren en hun klanten in potentie desastreus.
Organisaties die hun data stallen in datacentra op EU-grondgebied hebben dankzij die strenge privacywetten niet veel te vrezen als het gaat om de bescherming van hun bedrijfs- en klantgegevens. Alleen onder zeer strikte, juridische voorwaarden mogen data worden overlegd aan derden. EU-burgers weten bovendien dat hun data bij hen in veilige handen zijn.
Het Verenigd Koninkrijk is als onderdeel van de EU een relatief veilige haven als het om privacy gaat. Maar die privacygaranties staan met de naderende Brexit op losse schroeven. De oude Data Protection Act van 1998 voorziet niet in moderne regels op het gebied van privacy en compliancy, met alle mogelijke gevolgen voor de bedrijven die van de Britse cloud gebruikmaken.
Saillant detail
En dat zijn er nogal wat. Heel veel grote cloudproviders hebben ook datacentra in het Verenigd Koninkrijk. Organisaties die bij een van deze providers hun data stallen, moeten zich nu achter de oren krabben. Zonder de strenge EU-privacywetgeving is het maar de vraag of de Amerikaanse overheid afblijft van de daar geparkeerde gegevens. Zo nee, dan is er in het ergste geval sprake van een datalek en krijgt de organisatie een boete tot 820.000 euro of 10 procent van de jaaromzet per overtreding.
Het is vooralsnog volstrekt onduidelijk wat de Brexit voor gevolgen heeft voor de daar heersende privacywetgeving. Vooralsnog zijn twee scenario’s mogelijk:
1. Ze bepalen na uittreding hun eigen privacywetgeving
Het staat het Britse koninkrijk vrij om na uittreding eigen dataprivacywetten en -bepalingen te smeden. De gevolgen voor privacy en compliancy zijn dan volledig afhankelijk van de onzekere inhoud van deze nieuwe wetten. Europa zal het beschermingsniveau van die nieuwe regels moeten vaststellen. Is het beschermingsniveau hoger of gelijk, dan zijn aanvullende bepalingen voor internationaal dataverkeer niet nodig. Bij een lager beschermingsniveau is dat wel het geval. We hebben gezien bij de stukgelopen onderhandelingen over Safe Harbor en Privacy Shield waartoe dat kan leiden. Garantie op succes is niet bepaald gegarandeerd. Totdat er nieuwe wet- en regelgeving is, blijft de oude Data Protection Act van kracht. Deze voldoet beslist niet aan de Europese maatstaven.
2. Ze nemen de EU-privacywetgeving na uittreding ongewijzigd over
Dit is het gunstigste scenario. Iedere soevereine staat mag een wet ongewijzigd van een andere staat overnemen. Als het Verenigd Koninkrijk alle privacybepalingen overneemt, dan is er weinig aan de hand. Grensoverschrijdende clouddiensten mogen in de EU blijven opereren, zonder juridische consequenties. Die duidelijkheid is er echter vooralsnog niet. Een periode van onzekerheid blijft ook in dit gunstigste geval bestaan.
Er volgt hoe dan ook een periode van bezinning voor organisaties die gebruikmaken van clouddiensten uit het Verenigd Koninkrijk. Zij staan voor een lastige keuze: verhuizen ze hun cloudhuishouding naar een provider in de EU? Of wachten ze daar nog even mee in de hoop op een zo gunstig mogelijke afloop? Ze moeten hoe dan ook een duidelijke keuze maken, want anders doen hun klanten dat wel voor ze.