Het probleem dat je niet kende
Als je bedrijf facturen, bestellingen, afleveringsbonnen of andere documenten met klantgegevens verstuurt via een conventionele berichtenapp, gaan die gegevens via servers die waarschijnlijk niet in Europa staan. Of als ze dat wel doen, behoren ze tot een bedrijf dat onderworpen is aan buitenlandse wetgeving. De AVG heeft daar iets over te zeggen.
De Europese gegevensbeschermingsregels vereisen dat je weet waar je gegevens zijn, wie er toegang toe heeft en onder welke jurisdictie. Wanneer je een berichtenapp met een centrale server gebruikt, gaan je documenten via infrastructuur die je niet controleert. De gegevens van je klanten worden opgeslagen — al is het tijdelijk — op machines van een ander bedrijf, in een ander land, onder andere wetten.
Wat er verandert als er geen server is
Bij P2P-communicatie gaan gegevens rechtstreeks van het apparaat van de verzender naar dat van de ontvanger. Ze passeren geen tussenliggende server. Ze worden niet opgeslagen op infrastructuur van derden. Het document verlaat je computer in Lugo en komt aan op de computer van je klant in Barcelona. Of Berlijn. Of Lissabon. Maar het passeert nooit Silicon Valley.
Dit is geen klein technisch detail. Hier gebeurt AVG-naleving niet door inspanning en goede wil. Het gebeurt omdat de architectuur het onmogelijk maakt om te overtreden. Er is geen internationale gegevensoverdracht omdat er geen overdracht aan een derde partij is. De gegevens staan op jouw apparaat en dat van je gesprekspartner. Nergens anders.
Voor wie dit belangrijk is
Als je advocaat bent en een contract naar een klant stuurt via berichten, gaan de gegevens van dat contract via een server. Als je belastingadviseur bent en een belastingaangifte deelt, gaan die gegevens via een server. Als je arts bent en een rapport naar een patiënt stuurt, gaan de gezondheidsgegevens via een server. In al die gevallen vertrouw je de bewaring van vertrouwelijke informatie toe aan een bedrijf dat je niet hebt gekozen en niet controleert.
Het is niet dat je bewust iets fout doet. Het is dat het hulpmiddel dat je gebruikt je geen andere optie geeft. De enige manier om je professionele gegevens niet via servers van derden te laten gaan, is directe communicatie. Zonder tussenpersonen. Van jouw scherm naar dat van hen.
Automatische naleving
Met P2P-communicatie hoef je niet te controleren waar de servers van je berichtenprovider staan. Je hoeft de naleving van Privacy Shield of de standaardcontractbepalingen van de EU niet te verifiëren. Je hoeft geen clausule toe te voegen aan je privacybeleid die uitlegt dat je gegevens 'buiten de Europese Economische Ruimte verwerkt kunnen worden'. Niets van dat alles is van toepassing, omdat geen enkele derde partij je gegevens verwerkt.
Naleving hangt niet af van iemands goede wil. Het hangt niet af van een gegevensverwerkingsovereenkomst met een provider. Het hangt niet af van een Amerikaans bedrijf dat zijn toezegging aan Europese wetgeving handhaaft. Het hangt af van de architectuur. En architectuur is verifieerbaar, onveranderlijk en verandert niet van gedachten.
De vraag voor je volgende audit
De volgende keer dat iemand je vraagt waar de gegevens van je klanten zijn, is het best mogelijke antwoord: 'Op mijn apparaat en op het hunne. Nergens anders.' Geen rapport van honderd pagina's nodig. Geen DPO die leverancierscontracten doorneemt. De gegevensprivacy van je klanten is gegarandeerd door ontwerp, niet door beloften.