Logistieke organisaties kunnen terughoudend zijn om hun data te delen met anderen. Een drempel die terughoudend maakt, is het gebrek aan vertrouwen bij het delen van data. Data kan immers in verkeerde handen vallen. Zakelijke identiteitsfraude is, zoals ook besproken wordt in het artikel van Papis Seck over Identiteitsfraude van de vervoerder op internetplatforms, helaas aan de orde van de dag. Een andere drempel die wordt opgeworpen is het vastleggen van onderlinge bilaterale afspraken, wat veel tijd en geld kost. Een afsprakenstelstel voorkomt dat met iedere nieuwe partij nieuwe afspraken gemaakt moeten worden die alleen op dat ene concrete geval van toepassing zijn.
Welke afspraken moeten minimaal gemaakt worden voor het veilig uitwisselen van data? Je moet dan denken aan afspraken over in ieder geval de identificatie (wie ben je?), authenticatie (hoe toon je dat aan?) en autorisatie (wat zijn jouw bevoegdheden?). Naast de praktische aspecten dient men verschillende wet- en regelgeving in acht te nemen. In dit artikel schetsen wij een kort overzicht van de relevante wet- en regelgeving. Afsluitend zal ik kort stilstaan bij het afsprakenstelsel iSHARE en hoe dit logistieke partijen kan ondersteunen.[1]
Algemene Verordening Gegevensbescherming (AVG)
Hoewel de AVG-hectiek wat is gaan liggen, blijft de AVG de gemoederen flink bezighouden. Belangrijke reden blijft naar alle waarschijnlijkheid de angst voor de astronomische boetes die door de privacywaakhonden kunnen worden opgelegd. Het creëren van vertrouwen is voor veel bedrijven echter ook een reden om te laten zien dat zij aan de privacywetgeving voldoen. Met het plaatsen van een privacyverklaring op de bedrijfswebsite en het aanleggen van een verwerkingsregister is de kous immers nog niet af. Het voldoen aan de AVG is een proces dat continu om aandacht blijft vragen.
De uitwisseling van data in de logistieke sector zal niet in alle gevallen zien op de uitwisseling van persoonsgegevens. Wanneer er toch sprake is van persoonsgegevens dient de behandeling hiervan in overeenstemming met de AVG plaats te vinden. Dit kan betekenen dat partijen aanvullende afspraken dienen te maken over het uitwisselen van datasets die persoonsgegevens bevatten. Wanneer een partij in opdracht van een andere partij persoonsgegevens verwerkt, dienen partijen op grond van de AVG een aantal specifieke afspraken contractueel vast te leggen. Dit betreft de zogenaamde ‘verwerkersovereenkomst’. Indien er geen verwerkersovereenkomst dient te worden gesloten, zal er altijd moeten worden beoordeeld of er wel een grondslag aanwezig is om de persoonsgegevens te delen en of de benodigde maatregelen zijn getroffen. Voor bepaalde gegevens, zoals medische gegevens, geldt er een verwerkingsverbod, tenzij een uitzondering van toepassing is.[2]
Deelt u persoonsgegevens met een partij gevestigd buiten de Europese Economische Ruimte (EER)? Op 16 juli j.l. heeft het Europese Hof van Justitie in de zogenaamde Schrems II-zaak het Privacy Shield ongeldig verklaard. Ook de Standard Contractual Clauses (SCC’s) kwamen er niet ongeschonden vanaf: het mechanisme waarmee persoonsgegevens buiten de EER gedeeld kunnen worden blijft geldig, maar organisaties komen er niet langer mee weg om hier een krabbel onder te zetten en aan te nemen dat dit voldoende is. Het Hof, en ook de European Data Protection Board geven duidelijk aan dat ook de wetgeving in het ontvangende land getoetst dient te worden. Wanneer de betreffende wetgeving namelijk afdoet aan het beschermingsniveau dat de SCC’s creëren, zijn er alsnog geen passende waarborgen voor doorgifte aanwezig. Volgens het Hof is dit het geval voor de Verenigde Staten: verregaande bevoegdheden voor Amerikaanse inlichtingen- en veiligheidsdiensten maken, ironisch genoeg, dat het land niet veilig is. Als organisatie zult u zich dus achter de oren moeten krabben en afvragen of u voor een specifieke gegevensverwerking nog wel gebruik kunt maken van, in dit geval, een Amerikaanse leverancier.
Verordening 2018/1807
Door alle hectiek rondom de AVG is het menigeen waarschijnlijk ontgaan dat we er iets meer dan een jaar na de inwerkingtreding van de AVG een nieuwe verordening bij hebben gekregen. Deze nieuwe verordening ziet op het vrije verkeer van niet-persoonsgebonden gegevens en is sinds 28 mei 2019 van toepassing. Door de verordening moet het gemakkelijker worden om gegevensverwerkingsdiensten grenzeloos aan te bieden.
Omdat datasets zelden enkel persoonsgegevens of enkel niet-persoonsgebonden gegevens bevatten, bestaat er de nodige wisselwerking tussen deze verordening en de AVG. Beide verordeningen kennen bijvoorbeeld een portabiliteitsverplichting (het recht om gegevens overgedragen te krijgen). Voor wat betreft de manier waarop deze verplichting werkt, bestaan er echter toch wat verschillen. Onder AVG werkt deze verplichting tussen de betrokkene (doorgaans consumenten van online diensten) en de verwerkingsverantwoordelijke (de partij aan wie de betrokkene de persoonsgegevens uit handen heeft gegeven). In de praktijk zal het voor wat betreft de niet-persoonsgebonden gegevens en het portabiliteitsvereiste gaan om B2B interacties tussen een verwerkingsverantwoordelijke en een verwerker (de partij die door de verwerkingsverantwoordelijke wordt opgedragen bepaalde gegevens te verwerken).
Mededingingsrecht
Mededingingsrecht verbiedt afspraken en onderling afgestemde gedragingen die de concurrentie beperken. Ook informatie-uitwisseling kan concurrentieverstorend werken. Bepaalde concurrentiegevoelige data kan er namelijk toe leiden dat partijen in de logistieke keten hun gedrag op elkaar gaan afstemmen. Er zijn verschillende soorten overeenkomsten met verschillende regels. De regels voor afspraken tussen bedrijven op hetzelfde niveau van de productieketen (horizontaal op de productieketen) zijn doorgaans strenger dan die voor bedrijven op verschillende niveaus (verticaal) van de productieketen.
Bepaalde afspraken of handelingen die op het eerste gezicht als concurrentieverstorend zijn aan te merken, kunnen ook tot productieverbeteringen of technologische en economische vooruitgang leiden. Dergelijke efficiëntieverbeteringen kunnen in sommige gevallen een beperking van de concurrentie rechtvaardigen, mits er aan de in de wet gestelde voorwaarden wordt voldaan.
eIDAS-verordening
eIDAS staat voor 'Electronic Identities and Trust Services'. Deze Europese wetgeving zorgt ervoor dat elektronische identificatiemiddelen uit andere lidstaten worden erkend, zodat landsgrenzen geen belemmering vormen voor de uitwisseling van data. Op deze manier wordt het vertrouwen in elektronische ‘transacties’ vergroot en draagt dit bij aan veilige elektronische interactie. Op grond van de eIDAS-verordening dienen alle lidstaten een overzicht te maken en bij te houden van de gekwalificeerde aanbieders van vertrouwensdiensten. Dit zijn de zogenaamde ‘vertrouwenslijsten’. Deze vertrouwenslijsten zorgen ervoor dat het vertrouwen tussen marktdeelnemers wordt versterkt.
Een onderdeel van de eIDAS-verordening is het grensoverschrijdend gebruik van Europees erkende inlogmiddelen. Dit kan alleen met een betrouwbare online identiteitscheck aan de voordeur. Door de eIDAS-verordening is het voor logistieke partijen mogelijk om over (Europese) landsgrenzen logistieke data uit te wisselen door voor een erkende identificatiemethode te kiezen.
iSHARE
Voor logistieke partijen die met elkaar logistieke gegevens willen uitwisselen kan het afsprakenstelsel van iSHARE uitkomst bieden. Het doel van iSHARE is om tot gezamenlijke uniforme afspraken over identificatie, authenticatie en autorisatie te komen. Doordat iedere partij op dezelfde manier tot het afsprakenstelsel toetreedt en zich aan dezelfde voorwaarden dient te houden, wordt er een gecontroleerde en eenvoudig toegankelijke omgeving gecreëerd waar veilig data kan worden uitgewisseld.
Door de opgestelde uniforme afspraken wordt het delen van data ook mogelijk met onbekende derde partijen. Het vastleggen van afspraken is belangrijk omdat het juridisch lastig is om van ‘eigendom van data’ te spreken. De term ‘eigendom’ geldt eigenlijk alleen voor fysieke zaken. Software en data vallen daar niet onder. Omdat daarmee de rechtspositie van de maker en de gebruiker van de data moeilijk te bepalen is, is het zeer verstandig om expliciet te regelen wie wat mag met de data. Door gebruik te maken van het afsprakenstelsel is het mogelijk om specifieke toegangsrechten vast te leggen. Daarnaast kan autorisatie worden gegeven voor bijvoorbeeld een bepaalde periode of een bepaalde dataset. Deze autorisaties kunnen later ook weer worden gewijzigd, naar wens van de data-eigenaar. Met een eigen ‘identiteit’ krijgen deelnemers van het stelsel toegang tot gegevens waar zij autorisatie voor hebben gekregen.
Eenmaal aangesloten bij het stelsel kan men gebruikmaken van een herbruikbare en vertrouwde (e)identiteit om in te loggen. Kortom, iSHARE stimuleert vertrouwen en controle.
Voetnoten
1. Schrijver dezes was mede betrokken bij de opstelling van de juridische teksten van het afsprakenstelsel van iSHARE.
2. Artikel 9 Algemene Verordening Gegevensbescherming.