1. INLEIDING
We leven tegenwoordig in een informatiemaatschappij. Een nieuwe werkelijkheid die gepaard gaat met economische en technologische kansen, maar ook met juridische onzekerheid. Het is algemeen bekend dat de wetgever technologische ontwikkelingen niet kan bijhouden, waardoor wet- en regelgeving veelal achterloopt. De wetgever probeert dit te ondervangen met ‘technologie neutrale wetgeving’. Dit houdt in dat de wetgeving geen onderscheid maakt in toegepaste techniek en daardoor veel open normen bevat. Deze open normen geven vervolgens ruimte voor interpretatie, en leiden (dus) tegelijkertijd tot onzekerheid.
De logistieke en transportsector draagt in Nederland voor ruim acht procent bij aan het BNP. Daarmee levert deze topsector een belangrijke bijdrage aan onze economie. Het delen van data speelt hierin een sleutelrol. Dat is binnen Europa niet anders. Neem bijvoorbeeld het baanbrekende NexTrust-project, gefinancierd door de Europese Commissie, dat in dit artikel kort aan de orde zal komen. Vaak worden grote hoeveelheden vertrouwelijke en gevoelige data uitgewisseld.
Het verbaast niet dat daarbij allerlei juridische vraagstukken spelen. Van eerlijke mededinging tot het bestrijden van vendor lock-ins, van de bescherming van bedrijfsgeheimen tot aan privacy. Wie delen data met elkaar? Wat is de aard van die data? Wat zijn de consequenties daarvan? Welke waarborgen dienen te worden getroffen? In deze bijdrage staan een aantal belangrijke juridische grenzen voor het delen van data binnen en buiten de EU centraal. Hierbij ligt de focus op privacy, de bescherming van bedrijfsgeheimen en nationale en mededingingsrechtelijke grenzen en gevaren.
2. DATA
Als we het hebben over de juridische grenzen aan het delen van data moet eerst het begrip “data” onder de loep genomen worden. In feite zijn er twee soorten “data”. Zeker gezien de huidige AVG (boete-)hype springen natuurlijk persoonsgegevens onmiddellijk in het oog. Naast persoonsgegevens zijn er echter ook zogenaamde niet-persoonlijke data, met andere woorden, data waarin geen persoonsgegevens zijn opgenomen. Denk hierbij aan bedrijfsinformatie, technische informatie, (technische en commerciële) know-how, klantenlijsten, ontwerptekeningen, routes, logistieke informatie etc. Het begrip persoonsgegevens is een open begrip die door zowel de toezichthouder als de wetgever op dit ogenblik met de nodige regelmaat wordt opgerekt. In het kort zijn persoonsgegevens alle gegevens die direct of indirect herleidbaar zijn tot een persoon. Met de huidige digitale mogelijkheden kwalificeren bovendien steeds meer gegevens als persoonsgegevens, omdat gegevens (al dan niet in combinatie met elkaar) iets kunnen zeggen over een te identificeren persoon.
3. NIET-PERSOONLIJKE DATA
Op 13 september 2017 heeft de Europese Commissie (‘EC’) een nieuwe verordening voorgesteld die regels voorschrijft voor vrij verkeer van ‘niet-persoonlijke data’.[i] De verordening is onderdeel van de Digital Single Market-strategie van de EC. Deze DSM strategie heeft tot doel Europa en haar interne markt aan te laten sluiten bij het digitale tijdperk, en daarmee het volledige potentieel van de Europese dataeconomie verwezenlijken.[ii] De concept verordening is onderdeel van een groter beleidskader genaamd de Free Flow of Data Initiative (‘FFDI’)[iii] om de Europese data-economie in goede banen te leiden.
De verordening heeft tot doel barrières op vrij verkeer van niet-persoonlijke data binnen de EU op te heffen. Nieuwe digitale technologieën, zoals cloudcomputing, big data, AI en IoT worden ontwikkeld om efficiëntie te maximaliseren, schaalvergroting mogelijk te maken en om nieuwe diensten te verwezenlijken. Technologieën die gebruikers ongekende voordelen bieden, bijvoorbeeld op het gebied van flexibiliteit, productiviteit, snelheid van inzet en autonomie, onder meer met behulp van machine-learning. Met de verordening wil de EC ongerechtvaardigde datalocatie-eisen[iv] verbieden, data-toegang voor grensoverschrijdend toezicht en handhaving faciliteren en portabiliteit[v] van niet-persoonlijke data stimuleren.
Het voorstel is van toepassing op het opslaan en verwerken van niet-persoonlijke data binnen de EU. Het gaat hier om gegevens die geen persoonsgegevens zijn in de zin van de Algemene Verordening Gegevensbescherming (‘AVG’; zie paragraaf 3). Denk bijvoorbeeld aan onderhoudsdata van machines, geanonimiseerde en/of geaggregeerde statistieken en andere ongestructureerde datasets.
De verordening geeft aan dat binnen de reikwijdte daarvan de opslag en verwerking van data niet mag worden beperkt tot binnen de landsgrenzen van een lidstaat en dat opslag en verwerking in een andere lidstaat niet mag worden verboden, tenzij dit gerechtvaardigd wordt op basis van (belangen gelegen in de sfeer van) de openbare veiligheid.[vi] Lidstaten zullen elke nieuwe datalocatie-eis die volgens hen gerechtvaardigd is om redenen van openbare veiligheid – voorafgaande aan de vaststelling daarvan – moeten melden bij de EC volgens de procedure uit de Transparantierichtlijn.[vii] Alle andere datalocatie-eisen zijn in beginsel verboden en moeten door lidstaten dan ook worden opgeheven (zie ook onderstaande figuur voor ‘data-blocks’ wereldwijd).
Over portabiliteit van niet-persoonlijke data geeft de verordening aan de EC de opdracht om zelfregulerende gedragscodes op Europees niveau te faciliteren en te stimuleren.[i] In deze gedragscodes worden richtsnoeren en best practices aangedragen die onder andere de transparantie over contracten moeten verhogen. Doel hiervan is om te voorkomen dat gebruikers aan contracten vast komen te zitten, waarin portabiliteit moeilijk wordt gemaakt. Daarnaast wordt een netwerk van informatiepunten opgezet om coördinatie tussen lidstaten rondom datatoegang voor autoriteiten te faciliteren.[ii]
Door datalocatie-eisen in wetgeving in beginsel te verbieden moeten organisaties meer vrijheid krijgen gebruik te maken van clouddiensten van providers in andere lidstaten. De gedachte is dat door deze juridische principes onder de aandacht te brengen meer rechtszekerheid zal ontstaan rondom datastromen binnen de EU. Daarnaast zou er door het ontwikkelen van gedragscodes meer transparantie en minder informatie-asymmetrie ontstaan in de clouddienstensector. Dit dient een vendor lock-in[iii] te voorkomen en daardoor tot een meer concurrerende interne markt voor clouddiensten te leiden. Tegelijkertijd zou er dan flexibiliteit gecreëerd moeten worden om te grote lasten voor het bedrijfsleven te voorkomen en innovatie op peil te houden.
4. PERSOONSGEGEVENS
Wanneer het gaat om persoonsgegevens is vanaf 25 mei 2018 de AVG van toepassing.[iv] Persoonsgegevens worden op grond van de AVG onderverdeeld in twee categorieën: ‘gewone’ persoonsgegevens en ‘bijzondere’ persoonsgegevens. Gewone persoonsgegevens betreffen gegevens zoals een naam, een telefoonnummer, een e-mail- of IP-adres. Bijzondere persoonsgegevens zijn daarentegen gevoeliger van aard, waardoor zij meer bescherming genieten op grond van de AVG. Verwerking van bijzondere persoonsgegevens is zelfs verboden, tenzij een uitzondering geldt. Denk bij dit type gegevens aan gegevens over onder meer iemands godsdienst, ras, etnische afkomst, politieke voorkeuren, gezondheid, financiën en seksuele geaardheid.
In de AVG worden allerlei vereisten gesteld waaraan voorafgaand aan het delen of anderszins verwerken van persoonsgegevens moet voldaan. Zo moet er altijd een rechtmatige grondslag aanwezig zijn, moet het delen zorgvuldig gebeuren en moeten er allerlei maatregelen worden getroffen zodat het delen ook veilig gebeurt. Wanneer een partij in opdracht van een andere partij die persoonsgegevens bijvoorbeeld beheert, dient er een zogenaamde ‘verwerkersovereenkomst’ te worden gesloten.[v]
Lidstaten kunnen bepalen dat bepaalde persoonsgegevens niet mogen worden gedeeld buiten de EU. Sommige lidstaten beperken dit zelfs tot de landsgrenzen. Zo heeft Frankrijk in het kader van het verwerken van medische gegevens de eis gesteld dat zulke uiterst gevoelige gegevens uitsluitend extern mogen worden gehost door een provider binnen Frankrijk, die gecertificeerd is door l'Agence des Systèmes d'Information Partagés de Santé (een departement van het Ministerie van Volksgezondheid).[vi]
Het delen van persoonsgegevens buiten de EU staat door een aantal recente ontwikkelingen nog meer onder druk. Op dit moment is het volgens de AVG mogelijk persoonsgegevens buiten de EU te verwerken, wanneer:
een ‘adequaatheidsbesluit’ is genomen door de EC. Dit is een besluit waarbij een specifiek land, gebied of sector wordt aangewezen die een voldoende beschermingsniveau biedt.[vii] Een voorbeeld hiervan is de ‘Privacy Shield’ met Amerika. Wanneer Microsoft in een lopende rechtszaak alsnog door de Amerikaanse rechter echter wordt gedwongen data van Europese burgers af te staan die zij op haar Europese servers heeft staan, zal dit besluit ongetwijfeld (weer) onderuit gaan partijen zich committeren aan de ‘Standard Contractual Clauses’ (SCC). Dit is een set standaard bepalingen die een hoog beschermingsniveau van persoonsgegevens moet garanderen. Door een aanhangige procedure van Schrems tegen Facebook in Ierland liggen de SCC nu ook onder vuur, waardoor de houdbaarheid van deze maatregel onzeker is geworden; er bindende bedrijfsvoorschriften (‘Binding Corporate Rules’) zijn geïmplementeerd binnen een groep van organisaties. Deze optie is echter relatief tijdrovend en ook kostbaar[viii]; of voor uitzonderlijke, specifieke situaties met de uitdrukkelijke toestemming van de persoon zelf dan wel er een gerechtvaardigd of zwaarwegend algemeen belang aan te wijzen is.
Wanneer er sprake is van persoonsgegevens gelden er voor het delen, zeker buiten de EU, allerlei beperkingen. Veel bedrijven anticiperen op bovengenoemde onzekerheid van maatregelen door hun data binnen Europa op te slaan.
5.BEDRIJFSGEHEIMEN
Bedrijven investeren in het verwerven, ontwikkelen en toepassen van knowhow en informatie. Deze investering in intellectueel kapitaal is van invloed op hun innovatief vermogen en concurrentiepositie, en bijgevolg op het rendement en de wil om verder te innoveren. Het gaat bij bedrijfsgeheimen om knowhow en bedrijfsinformatie die waardevol zijn omdat zij geheim zijn en ook bedoeld zijn om vertrouwelijk te blijven en waarvoor de houder ook maatregelen heeft genomen om deze geheim te houden. Deze bedrijfsgeheimen kunnen betrekking hebben op een breed scala aan informatie, van technologische kennis, zoals fabricagemethoden en recepturen, tot handelsgegevens, logistieke informatie zoals informatie over routers, klanten en leveranciers, bedrijfsplannen of marktonderzoek en marktstrategieën.
Bedrijfsgeheimen zullen vanaf de zomer 2018 een wettelijk beschermde status hebben. Dit wordt geregeld door de ‘Wet Bescherming Bedrijfsgeheimen’.[ix] Deze wet regelt de “bescherming van niet-openbaargemaakte know how en bedrijfsinformatie”. Een bedrijfsgeheim is beschermd tegen het onrechtmatig verkrijgen, gebruik en het openbaar maken ervan.
Bedrijven die in Nederland last hebben van oneerlijke handelspraktijken rond bedrijfsgeheimen konden zich al beroepen op het gewone civiele recht (onrechtmatige daad) dan wel contractuele bescherming (via een geheimhoudingsovereenkomst ofwel een non-disclosure agreement). Straks komt daar dus de wettelijke bescherming van bedrijfsgeheimen bij. Een extra juridisch instrument die vooral handhavingsmaatregelen reguleert. Daarbij blijft echter de geheimhoudingsovereenkomst onverminderd relevant, omdat van de houder van het bedrijfsgeheim wordt verwacht dat hij redelijke maatregelen neemt om de bedrijfsinformatie geheim te houden, zoals recentelijk nog bevestigd door onze Hoge Raad.[x]
6. MEDEDINGINGSRECHTELIJKE ASPECTEN
Ook vanuit het oogpunt van eerlijke mededinging ligt het gebruik van data continu onder de loep. Big data is een zeer hot topic geworden voor mededingingsautoriteiten. Zowel het Duitse Bundeskartellamt als de Franse Autorité de la Concurrence doen veelvuldig sectoronderzoek naar datagerelateerde markten en strategieën.[xi]
In de huidige informatiemaatschappij kan het verzamelen, verwerken en gebruiken van informatie potentieel tot een machtspositie leiden of bepaald informatiegerelateerd gedrag concurrentieverstorend werken. Accumulatie van informatie wordt problematisch als het een machtspositie geeft aan de organisatie dat deze informatie bezit en deze informatie kan worden misbruikt. Het zijn verschijnselen die niet beperkt blijven tot de Googles of Facebooks van deze wereld, maar die inherent zijn aan grote spelers in digitale markten die grote hoeveelheden gegevens verzamelen en delen. Wanneer de concentratie van data bij een organisatie leidt tot uitsluitingsgedrag of prijsdiscriminatie is dat per definitie onrechtmatig.
Toch zien we ook horizontale samenwerkingsverbanden, waarbij grote hoeveelheden data worden gedeeld, die mededingingsrechtelijk wel door de beugel kunnen. Het Nextrust-project – gefinancierd door de EC – is hier een goed voorbeeld van. Hierin/hieruit worden baanbrekende logistieke pilotprojecten opgezet ten aanzien van horizontale samenwerking tussen veelal (ook) concurrerende bedrijven. Voortdurend aandachtspunt daarbij is dat deze bedrijven geen concurrerende gevoelige informatie over elkaar mogen verkrijgen. Het wegverkeer vertegenwoordigt een vijfde van de totale CO2-uitstoot van de EU, terwijl tegelijkertijd ongeveer één op de vijf vrachtwagens op Europese wegen leeg is. In een zoektocht naar een efficiënter gebruik van wegen hebben supply chain-experts een netwerk opgezet om producenten, retailers en vervoerders met elkaar in contact te brengen om emissies, brandstofverspilling en -kosten, en verkeerscongestie te verminderen.
In 2016 en 2017 hebben wij als enige juridische partner met de andere partners in het NexTrust-project meer dan 40 pilots mogen uitvoeren. De belangrijkste voorwaarde voor dit innovatieve bedrijfsmodel is de neutrale “trustee-functie", die absoluut van cruciaal belang is om de wettelijke naleving van het mededingingsrecht te waarborgen. Immers, door tussenkomst van een belangeloze trustee, wordt machtsmisbruik van data voorkomen en blijft de vertrouwelijkheid van de data van de deelnemende partners bovendien gewaarborgd.
7. CONCLUSIE
Bij het delen van data spelen allerlei verschillende juridische vraagstukken, die vragen om maatregelen of het maken van afspraken tussen partijen. Daarbij zijn de aard van de data, de doeleinden van het gebruik en de hoedanigheid van de gebruikers van die data belangrijke aandachtspunten. Technologie neutrale wetgeving probeert een steeds dichter kader rondom data te creëren. Van eerlijke mededinging tot het bestrijden van vendor lock-ins en van de bescherming van bedrijfsgeheimen tot aan privacy. Een levendig speelveld, dat nog volop in ontwikkeling is en voorlopig zal blijven.
Voetnoten
- Voorstel voor een verordening van het Europees parlement en de Raad inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie COM (2017)495.
- Zie voor meer informatie https://ec.europa.eu/digital-single-market/
- https://ec.europa.eu/digital-single-market/en/news/digital-single-market-free-flow-data-initiative
- Datalocatie: geografische locatie van de opslag en verwerking van niet-persoonlijke data. De EC schat in dat de baten van het wegnemen van de huidige datalocatie-eisen tussen de € 8 miljard en € 11,7 miljard kunnen zijn.
- Overdraagbaarheid van data tussen concurrerende dienstverleners (zoals clouddienstverleners) op verzoek van de klant.
- Artikel 4 van het voorstel.
- 2013/50/EU
- Artikel 6 van het voorstel.
- Artikel 7 van het voorstel.
- Vendor lock-in is het verschijnsel dat een klant zo zeer afhankelijk raakt van een leverancier dat afscheid nemen of overstappen niet langer mogelijk is zonder grote (financiële) gevolgen.
- Artikel 28 lid 3 Algemene Verordening Gegevensbescherming.
- Zie hiervoor: N° 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé en Décret n°2006-6 du 4 janvier 2006 relatif à l'hébergement de données de santé à caractère personnel et modifiant le code de la santé publique.
- Artikel 45 lid 1 Algemene Veroderning Gegevensbescherming.
- https://www.kneppelhout.nl/actueel/is-privacy-shield-bedoeld-ter-protectie-amerikaanse-bedrijven-tegen-europese-wetgeving
- Door implementatie van de Richtlijn 2016/943/EU
- HR 19 januari 2018, ECLI:NL:HR:2018:56, rov. 3.2.2.
- http://www.autoritedelaconcurrence.fr/doc/reportcompetitionlawanddatafinal.pdf