Technische ondersteuning en cybersurveillance

In een nieuwe serie bespreekt Loes Janson de moderniseringsplannen van de Europese Commissie voor de dual-use-verordening. In het derde artikel bespreken we technische ondersteuning en

cybersurveillance.

Door Loes Janson consultant Trade Compliance & FEC bij Philip Sidney.

Exporteurs van dual-use goederen brengen vaak ook technologie in de vorm van informatie naar het buitenland. Bijvoorbeeld door het geven van trainingen, door het oplocatie technisch ondersteunen van klanten of technici of simpelweg door het opslaan van gegevens op een server in het buitenland. De overdracht van dit soort informatie, kan onder het bereik van de Europese dual-use verordening vallen.

In het voorstel tot herziening van de Europese dual-use- verordening wordt de controle op technische ondersteuning en (cyber-) technologie verstevigd. Vooral cybersurveillance-technologie staat al sinds de zogenaamde Arabische Lente van 2011 hoog op de agenda van de EU. De achtergrond hiervan ligt in de bescherming van mensenrechten en het internationaal humanitair recht, zoals besproken in de vorig aflevering uit deze reeks.


Overdragen dual-use kennis

In het voorstel voor de nieuwe verordening komt het huidige artikel 7 te vervallen. Dit artikel staat personen toe om kennis in

het land van bestemming mondeling over te dragen. Dat betekent

niet dat er nu altijd een uitvoervergunning nodig is om kennis in het hoofd mee te nemen. In de nieuwe definities is er namelijk slechts sprake van ‘export’ van technologie als het om elektronische overdracht gaat, zoals per telefoon of e-mail.


Toch is de verordening bij bestemmingen buiten de Unie wel

degelijk van toepassing. Dat komt doordat het nieuwe


‘artikel 7’ het verschaffen van technische ondersteuning onder de

vangnetclausule plaatst (zie globe magazine september 2018).


Samengevat komt het er op neer dat er bij het (mondeling) overdragen van dual-use kennis, kortom bij het verlenen van

technische ondersteuning, er toch een vergunning nodig is wanneer er sprake is van enige wetenschap dat de kennis gebruikt

zou kunnen worden voor massavernietigingswapens, in sommige gevallen voor militair eindgebruik, voor terroristische daden, of voor (personen betrokken bij) het schenden van mensenrechten of het internationaal humanitair recht.


Technologie overdracht & Cloud services

Voor dual-use-goederen is zoals bekend een exportvergunning

nodig. ‘Export’ betekent in de meeste gevallen het plaatsen van goederen onder de regeling uitvoer, zoals bedoeld in artikel 269 van het douanewetboek van de unie. Bij immateriële goederen, zoals technologie en software is het moment van export echter een stuk lastiger te bepalen.


De controle op cybersurveillancetechnologie wordt in de nieuwe dual-use-verordening opgeschroefd

In de definitie van ‘export’ staat in de herziening van de dual- use verordening niet langer het criterium dat technologie (of software) een bestemming moet hebben buiten de Unie. Er is alleen nog sprake van export wanneer technologie daadwerkelijk beschikbaar wordt gesteld aan een rechts- of natuurlijke persoon buiten de Unie. Het verschil wordt duidelijk bij bijvoorbeeld opslagdiensten in de cloud. Het simpelweg plaatsen van dual-use-technologie (in de vorm van informatie) op een server buiten de EU is niet langer ‘export’, tenzij een persoon in dat derde land ook daadwerkelijk toegang krijgt tot die technologie. Nederland heeft met de publicatie van de factsheet “Export via de Cloud” al in maart 2018 een vergelijkbaar standpunt ingenomen.


Cybersurveillance

Aan de definitie van goederen voor tweeërlei gebruik is in de dual-use-herziening het begrip cyber-surveillance nadrukkelijk toegevoegd. Onder het begrip cyber-surveillance technologie zullen onder andere mobiele telecommunicatie onderscheppings-apparatuur, inbraaksoftware, monitoringcentra, wettelijke interceptie systemen en dataretentie centra, en digitaal forensische producten gaan vallen.


De daadwerkelijke lijst van dual-use goederen staat vermeld in bijlage I van de dual-use verordening. Cyber-surveillance producten zullen vermoedelijk terug te vinden gaan zijn in een nieuw op te nemen deel B in de bijlage. Voor exporteurs van cyber-surveillance gerelateerde producten of -technologie zal het daarom van groot belang zijn om dit deel B scherp in de gaten te houden, zodat eventueel benodigde vergunningen tijdig kunnen worden aangevraagd. Bedenk ook dat producten die straks niet in de lijst staan, maar wel in het algemeen voldoen aan de omschrijving van cybersurveillance- technologie, onder de vangnetclausule zullen vallen.

Conclusie

De toevoegingen en aanpassingen die de Europese Commissie voorstelt op het gebied van (cyber- surveillance) technologie zorgen voor een betere internationale bescherming van de mensenrechten, en geven de exporteur meer duidelijkheid in dit tijdperk van technologische vooruitgang.


Ze brengen echter ook meer verplichtingen met zich mee voor de Europese exporteur. In het geval van technische ondersteuning is een gedegen due diligence vooraf van groot belang, waaronder screening van de personen aan wie je als exporteur de ondersteuning verleent.


Een zorgvuldig onderzoek is ook onmisbaar bij het verstrekken van cybersurveillance producten, zeker met betrekking tot de vangnetclausule. De verplichtingen behelzen niet alleen gedegen onderzoek, maar vragen de


exporteur ook om specifieke maatregelen te nemen. Bijvoorbeeld bij het gebruik van cloudoplossingen worden er eisen gesteld aan de beveiliging daaromtrent.


Om te kunnen voldoen aan al deze verplichtingen en eisen, zal de exporteur de genomen maatregelen goed moeten waarborgen in de organisatie. Dit moet zich uiten in een duidelijke betrokkenheid en kennis van deze maatregelen binnen het gehele bedrijf, van management tot medewerker.


Het wordt van een exporteur niet alleen verwacht dat zulke zaken zijn omschreven in een internal compliance programme (“ICP”), maar ook dat het ICP binnen de organisatie effectief is geïmplementeerd. Hierover in een volgend artikel meer.