Cloud Act en HR: kun je Amerikaanse HR-software nog veilig gebruiken?

Amerikaanse technologie wordt overal in de samenleving gebruikt. Van Google Maps en Word tot e-mail, cloud en besturingssystemen: we zijn er flink afhankelijk van geworden. Ook HR-afdelingen gebruiken regelmatig Amerikaanse software. Denk bijvoorbeeld aan de oplossingen van SAP, BambooHR en Workday.

In principe is het gebruik van dergelijke software geen probleem, zelfs niet als daar gevoelige gegevens van werknemers in worden verwerkt. Europa en de VS hebben afspraken gemaakt waarmee de doorgifte van deze data is geregeld: het Data Privacy Framework (DPF). Amerikaanse partijen die daaronder gecertificeerd zijn, mogen data verwerken van Europese burgers. 

Zijn partijen daar niet onder gecertificeerd, dan kun je ook een modelcontract voor doorgifte gebruiken, in combinatie met eventuele extra maatregelen en een risicoanalyse van dat land.  

Voor HR-data geldt één extra verplichting: partijen moeten aangeven dat ze gecertificeerd zijn om HR-data te verwerken. Als gebruiker van de software moet je aangeven dat je data HR-gegevens bevat. “In de VS gelden andere regels voor dit soort data”, legt Caroline van Ekeren uit. Zij is senior legal counsel en sectiecoördinator Data & Privacy bij ICTRecht. “Ze moeten daarom weten dat ze met HR-data te maken hebben.” 

De lange arm van de VS

Maar sinds het aantreden van president Trump en de toegenomen geopolitieke spanningen is het gebruik van Amerikaanse software niet meer zo vanzelfsprekend. Dat heeft onder meer te maken met twee Amerikaanse wetten: de Cloud Act en de Foreign Intelligence Surveillance Act (FISA 702). Deze wetten bepalen dat Amerikaanse autoriteiten toegang kunnen krijgen tot data die is opgeslagen bij Amerikaanse partijen. Zet je je data dus neer bij een Amerikaanse cloudprovider, dan kan de Amerikaanse overheid daar mogelijk ook bij. Ook als de data zelf fysiek in een datacenter in Europa staan opgeslagen. En daar hoeft niemand jou over in te lichten.

Botst dat niet met de Europese privacywetgeving, de AVG? Deze wetgeving telt immers strenge regels aan het opslaan en verwerken van persoonsgegevens. Wie deze data wil verwerken, mag dat alleen op basis van zes grondslagen. Zo mag je onder meer data verwerken als je toestemming hebt van de persoon om wie het gaat of als dit noodzakelijk is om een overeenkomst uit te voeren. 

“Als de VS geen rechtsgrond heeft op basis van Europese regels, is zo’n inzage inderdaad in strijd met Europees recht”, zegt ook Leonie van Sloten, senior adviseur bij de AP. Maar als je niet weet of de VS je data bekijkt, weet je ook niet of er iets gebeurt dat in strijd is met de AVG. In de praktijk is dus moeilijk te controleren of er iets gebeurt dat niet mag. 

Bovendien is de VS niet het enige land met dit soort wetgeving. “Ook in Europa zijn er redenen waarom overheden toegang krijgen tot onze gegevens. Veel Europese landen hebben dus ook dit soort wetten.” 

Juridisch nog geen probleem

De angst is dat de Trump-regering dit soort wetgeving gaat inzetten om te spioneren. “Door wat er nu in de VS gebeurt, komt het Data Privacy Framework onder spanning te staan”, zegt Van Ekeren. Zo lopen er diverse rechtszaken over het DPF, waarin moet worden besloten of dit framework stand kan houden. “Maar juridisch is er nu nog niets veranderd. Je kunt Amerikaanse software gewoon gebruiken en data blijven delen. Dat is de juridische waarheid.”

Van Sloten sluit zich daarbij aan. “Maar je kunt jezelf wel de vraag stellen: wat vind je wenselijk? Er kunnen redenen zijn waarom dit toch niet helemaal prettig voelt. Werkgevers moeten dus voor zichzelf deze vraag beantwoorden: vind je het, in jouw situatie, prettig dat gegevens van je werknemers buiten de Europese Economische Ruimte worden doorgegeven?” 

De organisatie zelf is namelijk verantwoordelijk voor de beveiliging van de persoonsgegevens, benadrukt Arjan Kapteijn, hoofd van de afdeling systeemtoezicht markt & bedrijfsleven bij de AP. “Er wordt nog wel eens gezegd: ik koop een systeem in, dat zou moeten voldoen aan de eisen van de wet. Maar het is je taak om vast te stellen dat het daar inderdaad aan voldoet. Als dat niet zo is, ben je nog steeds verantwoordelijk.”

De praktische werkelijkheid

Er is nog een tweede risico: blijft Amerikaanse software wel beschikbaar? President Trump kan in theorie besluiten dat Amerikaanse partijen niet meer aan Europa mogen leveren. En Europa dreigde onlangs nog met de zogeheten ‘handelsbazooka’: een maatregel waarmee het Amerikaanse partijen de toegang tot de Europese markt kan ontzeggen. Het is dus mogelijk dat je HR-administratie opeens niet meer toegankelijk is als gevolg van politieke besluiten. 

• Lees ook: AI grootste zorg voor HR-professionals bij digitalisering

Een belangrijk risico waarmee organisaties nu al rekening kunnen houden. “Vendor lock-in is een ander mogelijk probleem: dat je in een systeem zit waaruit persoonsgegevens op termijn niet gemakkelijk te halen zijn door het ontwerp van het systeem”, waarschuwt Kapteijn. “Stel je kunt niet meer gebruik maken van zo’n partij, dan is het fijn als je je personeelsadministratie gemakkelijk en preventief kunt overzetten naar een Europese aanbieder.”

Noodpakket

Voor de gemiddelde HR-afdeling hoeft er nu dus niet op stel en sprong iets te veranderen. Amerikaanse software kan nog altijd veilig gebruikt worden. Maar Van Ekeren raadt organisaties wel aan na te denken over hun eigen situatie. “Maak de afweging: wat voor bedrijf ben je, welke data deel je en welke software gebruik je daarvoor? Kijk daarbij ook naar de huidige geopolitieke spanningen en vraag je af waar je nu je dienstverlening wilt neerleggen. Je moet die risico’s immers herkennen en bepalen welke risico’s je wel en niet accepteert.”

• Lees ook: Wat betekent de AI-act voor ons HR-vakgebied?

Ook Kapteijn adviseert organisaties een plan B klaar te hebben liggen. “We moeten nu allemaal een noodpakket in huis hebben. Je wilt bij wijze van spreken ook een noodpakket voor de doorgifte van data naar de VS. Niet omdat je deze volgende week nodig hebt, maar omdat het goed is om een plan achter de hand te hebben.”

Checklist: waar moet je op letten bij HR-software?

1. Is de partij die je op het oog hebt een Amerikaanse partij? 
2. Zo ja, is deze partij gecertificeerd onder het Data Privacy Framework en mag ze daaronder HR-data verwerken? Is de partij niet gecertificeerd, sluit dan een modelcontract af en bekijk welke aanvullende maatregelen je moet nemen. (Tip: de VS heeft een zoekmachine met daarin alle partijen die DPF-gecertificeerd zijn.)
3. Draait de software in de cloud (zoals SaaS) of volledig lokaal op je eigen infrastructuur? Als software lokaal, op je eigen infrastructuur draait, worden er waarschijnlijk geen gegevens naar Amerika verstuurd. 
4. Beoordeel: is het in jouw situatie, voor jouw bedrijf, verantwoord en wenselijk om data buiten de Europese Economische Ruimte te verwerken? Zo niet, zoek naar een Europees alternatief.
5. Kun je gemakkelijk je personeelsadministratie uit deze HR-software halen en overzetten naar een andere leverancier?
6. Zorg voor een plan B, voor het geval dat.