ECO, Brexit en het zwaard van Damocles

ISP Today schreef circa een jaar geleden over een ad-hoc werkgroep van ECO. Deze had als taak de impact van Brexit op domeinnaamregistraties in kaart te brengen. Dat onderzoek gaf aan dat er op dat terrein het nodige aan de hand was. Mogelijk tienduizenden registraties bij tal van Europese TLDs staan op het spel. Je kunt spreken van een zwaard van Damocles.

Domeinnamen

Het verslag van deze ad-hoc groep heeft recent een Engelstalige update gekregen. Het is verplichte leesvoer voor iedereen in de EU die registraties voor meerdere Europese TLDs aanbiedt en dat ook aan Britse klanten levert. We verwijzen ook nog even naar onze eerdere artikelen over dit onderwerp. Het draait erom dat voor sommige registraties het inwoner van of gevestigd zijn in de EU een harde eis is. De Britten gaan ervan uit dat ze over twee jaar geen deel van de EU meer zijn. Dan is er dus een probleem.

GDPR

Als je toch naar de ECO website gaat voor die update is er ook een nog recenter artikel dat over Brexit gaat en de IT sector raakt dat je moet lezen. Vooralsnog is er geen Engelse vertaling van beschikbaar en Google translate heeft de nodige moeite met de tekst. Het draait allemaal om de GDPR, in het Duits de DSGVO genoemd. In principe kan data naar landen buiten de EU worden gestuurd voor opslag of bewerking. De voorwaarde waaraan dan voldaan moet zijn is dat in het land van bestemming een gelijkwaardig beschermingsniveau wordt geboden.

Voor landen als Noorwegen en Zwitserland is dat geen probleem. Die hebben als niet EU lidstaten door het het aanpassen van de eigen wetten (een soort harmonisatie) de moeite waard is. De Britten denken daar anders over. London wil via de Investigatory Powers Act een wet die alle slechte eigenschappen van sleepnet en dataretentie verenigt. Zogenaamd om terrorisme te bestrijden, maar daar wordt nadrukkelijk ook anders over gedacht. Het gevolg van deze wet is dat telco’s en datacenters onder permanente observatie van de geheime diensten zullen komen te staan. In die context is er naar de mening van veel door ECO geraadpleegde juristen geen sprake meer van “ gelijkwaardig beschermingsniveau”. De consequentie daarvan is dat, zoals de vlag er nu bijhangt, na Brexit het opslaan en bewerken van data in het VK in strijd is met de GDPR.

Het venijn zit er niet alleen in dat dit de database van bedrijf X raakt die in een Brits datacenter – denk aan Rackspace – staat opgeslagen. Het gaat hier ook over alle koppelingen met applicaties die via datacenters op het eiland worden aangeboden en uitwijk faciliteiten (data bewerking). Ja zelfs weinig technische aangelegenheden als cv’s en loonadministraties. De impact hiervan zou echt groot kunnen zijn. Met recht dat ECO aandacht voor dit tweede zwaard van Damocles vraagt.