Specifiek gaat het om data van personen die opgeslagen worden door bedrijven. 'Bedrijven die persoonsgegevens doorgeven, dus privacygevoelige gegevens, via een cloud of andere manier, mogen dat niet zomaar doen. Dat kan al een probleem zijn wanneer de gegevens van je personeel in een cloud van Microsoft staan, waarvan we niet zeker weten dat die gegevens niet ook in de VS kunnen worden bekeken. Want daar geldt een andere privacywet dan in de EU', legt Saskia Vermeer-De Jongh, advocaat Digital, Cyber en Privacy bij advocatenkantoor HVG-law, uit.
Wanneer bedrijven niet aan de privacyregels voldoen, kan er een grote boete in het verschiet liggen. 'Die boete kan oplopen tot maximaal 20 miljoen euro of vier procent van je wereldwijde omzet.'
'Comply or die'
Volgens Vermeer-De Jongh spelen de problemen voor grote bedrijven, zoals Microsoft, Google en Adyen, maar ook voor kleinere bedrijven. 'Eigenlijk speelt het wel voor elk bedrijf. In low-cost landen kan je personeel inhuren. Als je daar een payroll-constructie hebt, dan moet je ook aan de wetgeving voldoen.' Volgens de privacy-advocaat is de toezichthouder steeds strenger in de controle hierop. 'Het is comply or die (...). Als je niet voldoet en naar een land persoonsgegevens doorstuurt dat geen adequaat beschermingsniveau kan bieden, dan kan een toezichthouder echt schorsen. Dan gaat het hele feest niet door en dat vaak bedrijfskritische processen', aldus Vermeer-De Jongh.