De discussie begon met de afgebeelde tweet. A koop B, A is Amerikaans en B is Europees. A integreert de IT van B. Op dat moment gaan persoonsgegevens van de EU naar de VS. Kan dat, mag dat en wie moet daar goedkeuring geven?
Herkenbare case
Tegenwoordig komt daar iets anders bij kijken. Data van EU ingezetenen zomaar naar de VS overhevelen kan en mag niet. De AVG is daar leidend en omdat Privacy Shield is afgeschoten zijn veel (alle?) voorheen gebruikte constructies niet meer toegestaan.
Werkgevers moeten sowieso de instemming van de werknemers hebben staat in de discussie te lezen. Of dat in via de ondernemingsraad moet of dat van elke werknemer individueel de toestemming moet worden verkregen, daarover lijken de meningen al uiteen te lopen. Maar dat er serieus naar gekeken moet worden is wel duidelijk.
En de klanten dan?
Verderop in de reacties komt opeens de vraag of de vraagsteller ook naar de klanten van het bedrijf heeft gekeken. Daarna komt nog de opmerking dat het om meer kan gaan dan de e-mailserver die naar de VS wordt overgeheveld. Wat als het webverkeer ook wordt omgeleid. Dan kan in principe het surfverkeer van de medewerkers worden gevolgd. Is daar geen aanvullende expliciete toestemming voor nodig.
En vandaar is het aar een klein stap om de vraag te stellen wat dat betekent voor de personen die mailen met het bedrijf of die we website bezoeken. Moeten die ook niet – om aan de AVG te voldoen – worden geïnformeerd dat Europees bedrijf B nu deel uitmaakt van Amerikaans bedrijf A en dat data in de VS wordt verwerkt en opgeslagen.
