De Europese Commissie heeft onlangs op grond van artikel 5 van Verordening (EU) 2021/821 bijgewerkte richtsnoeren uitgebracht die betrekking hebben op de uitvoer van producten voor cybertoezicht. Met deze aanbevelingen is de nadruk duidelijk: bedrijven moeten hun verantwoordingsplicht vergroten bij het exporteren van technologieën die in staat zijn om persoonlijke gegevens te monitoren, extraheren en analyseren. Deze instrumenten brengen aanzienlijke risico's met zich mee als ze worden misbruikt, waardoor heimelijk toezicht mogelijk wordt of mensenrechtenschendingen worden vergemakkelijkt. Naarmate cybersurveillancetechnologieën geavanceerder worden, neemt de inzet voor bedrijven toe, waardoor het verplicht wordt om deze richtlijnen te controleren om ethisch gebruik te waarborgen, reputatie-, juridische en financiële risico's te beperken en licentieverplichtingen te identificeren. 

Dit artikel is geschreven door Sefa Gecikli ([email protected]) en Marius Ungureanu ([email protected]). Marius en Sefa maken beide deel uit van RSM Netherlands International Consulting Services met een specifieke focus op Trade Compliance en Emerging Technology. 

Inzicht in de richtlijnen

De EU-verordening voor tweeërlei gebruik heeft betrekking op de controle op de uitvoer van producten voor tweeërlei gebruik uit de Europese Unie.  Overeenkomstig artikel 3, lid 1, van de verordening is een vergunning vereist voor de uitvoer van de in bijlage I opgenomen producten voor tweeërlei gebruik.  Bovendien kan op grond van artikel 3, lid 2, van de verordening ook een vergunning vereist zijn voor de uitvoer naar alle of bepaalde bestemmingen van bepaalde producten voor tweeërlei gebruik op grond van de artikelen 4, 5, 9 of 10, ook wel "vangnetclausules" genoemd, zelfs indien deze niet in bijlage I zijn opgenomen. 

Het belangrijkste is dat volgens artikel 5 van de verordening nog steeds een vergunning vereist is voor de uitvoer van producten voor cybertoezicht, ongeacht of deze niet in de lijst zijn opgenomen. In artikel 2, punt 20, van de verordening worden "producten voor cybertoezicht" gedefinieerd als "producten voor tweeërlei gebruik die speciaal zijn ontworpen om heimelijk toezicht op natuurlijke personen mogelijk te maken door het monitoren, extraheren, verzamelen of analyseren van gegevens uit informatie- en telecommunicatiesystemen". De risico's zijn met name groot in gevallen waarin het gaat om cybersurveillance-items die specifiek zijn ontworpen om binnen te dringen in informatie- en telecommunicatiesystemen of deze grondig te inspecteren. Deze items kunnen worden gebruikt voor heimelijk toezicht op personen door het monitoren, extraheren, verzamelen of analyseren van gegevens - zoals biometrische informatie - die zijn opgeslagen of verzonden binnen die systemen.

De primaire focus van deze richtlijnen is het ondersteunen van exporteurs bij het beoordelen en beperken van risico's die verband houden met niet-vermelde cybersurveillance-items - instrumenten die zijn ontworpen voor heimelijk toezicht op individuen. Voorbeelden hiervan zijn gezichtsherkenningssystemen, apparaten voor het volgen van locaties, videobewakingstools en bepaalde soorten forensische tools. Bijvoorbeeld: gezichtsherkenningssystemen die zijn ontworpen voor het analyseren van opgeslagen videobeelden om personen in een menigte te identificeren zonder hun medeweten, kunnen voldoen aan de criteria van artikel 2, punt 20, van de verordening. Apparaten voor het volgen van locaties op satellieten of zendmasten die in staat zijn om heimelijk de real-time bewegingen van personen te volgen zonder hun toestemming en/of bewustzijn, kunnen worden geclassificeerd als cyberbewakingsitems.

In de richtsnoeren worden bepaalde termen verduidelijkt die in de EU-verordening inzake producten voor tweeërlei gebruik worden gebruikt met betrekking tot de producten inzake cybertoezicht. Het benadrukt dat het belangrijkste doel van deze items moet zijn om geheime surveillance mogelijk te maken, hoewel ze ook andere toepassingen kunnen hebben. De richtlijn verduidelijkt verder wat "geheime surveillance" is, en legt uit dat dergelijke surveillance plaatsvindt wanneer individuen zich er niet van bewust zijn dat ze worden gecontroleerd en daarom hun gedrag niet kunnen veranderen of aan de bewaking kunnen ontsnappen. De richtlijnen benadrukken ook dat zelfs als een item slechts een van de verschillende mogelijkheden bezit (monitoren, extraheren, verzamelen of analyseren van gegevens), het nog steeds kan worden geclassificeerd als een cybersurveillance-item.

Kernacties voor bedrijven

De verordening breidt de controles uit tot niet-vermelde artikelen waarvan exporteurs "bewust" zijn dat hun producten voor onethische doeleinden kunnen worden gebruikt. In de richtsnoeren wordt benadrukt hoe belangrijk het is het eindgebruik van cybersurveillanceproducten te beoordelen om ervoor te zorgen dat ze niet bedoeld zijn voor binnenlandse repressie of schendingen van de mensenrechten en het internationaal humanitair recht. Exporteurs moeten nagaan of zij op de hoogte zijn van het voorgenomen misbruik van deze artikelen en stappen ondernemen om te voorkomen dat ze worden gebruikt voor doeleinden zoals foltering, willekeurige executies of andere ernstige schendingen. Exporteurs wordt geadviseerd om bij de beoordeling of dergelijke artikelen naar die eindgebruiker moeten worden uitgevoerd, rekening te houden met de staat van dienst van de ontvanger op het gebied van de eerbiediging van de mensenrechten en het internationaal recht.
Bewustwording houdt in dat er proactieve stappen worden ondernomen om risico's te beoordelen en due diligence-maatregelen te implementeren. Deze eis benadrukt een gedeelde verantwoordelijkheid van bedrijven en bevoegde autoriteiten om misbruik te voorkomen. De richtsnoeren schetsen een aantal essentiële stappen voor exporteurs:

  • Classificeer uw artikelen: Bepaal of het product kwalificeert als een artikel voor cyberbewaking op basis van de technische kenmerken en het beoogde gebruik.
  • Beoordeel risico's: Evalueer mogelijk misbruik van het product voor mensenrechtenschendingen of interne repressie door eindgebruikers en hun context te onderzoeken.
  • Houd rode vlaggen in de gaten: Wees waakzaam voor indicatoren van misbruik, zoals: het op de markt brengen van het artikel voor heimelijk toezicht, misbruik in het verleden van soortgelijke artikelen of bekende associaties van eindgebruikers met onethische praktijken.
  • Voer beoordelingen van belanghebbenden uit: Onderzoek de rol van distributeurs, wederverkopers en eindgebruikers in de transactie om potentiële risico's te identificeren.
  • Implementeer een intern nalevingsprogramma: Stel beleid en procedures vast voor due diligence en doorlopend risicobeheer.
  • Bereid corrigerende actieplannen voor: Gebruik bevindingen om beleid te verfijnen, risicobeheer te verbeteren en nalevingskaders bij te werken.

Het niet erkennen en niet naar behoren informeren van de relevante autoriteiten over artikelen die onder de richtsnoeren vallen, kan ernstige juridische en financiële gevolgen hebben voor exporteurs. Het nalaten om cybersurveillance-items nauwkeurig te identificeren en te rapporteren, kan leiden tot ongeoorloofde export naar regio's waar ze kunnen worden misbruikt voor mensenrechtenschendingen of binnenlandse repressie. Dergelijke overtredingen kunnen leiden tot hoge boetes, intrekking van exportvergunningen en zelfs strafrechtelijke vervolging voor de verantwoordelijke partijen. Bovendien kunnen bedrijven te maken krijgen met beperkingen op toekomstige handelsactiviteiten, waardoor de bedrijfsvoering en winstgevendheid aanzienlijk worden verstoord.

Afgezien van wettelijke boetes, kan het niet naleven van meldingsvereisten de reputatie van een bedrijf aantasten. Associaties met onethisch gebruik van technologie, met name in gevallen van gedocumenteerde mensenrechtenschendingen, kunnen het vertrouwen van klanten, beleggers en het publiek aantasten. Negatieve publiciteit en mogelijke boycots kunnen blijvende effecten hebben door de groeivooruitzichten op lange termijn te schaden. Grondige due diligence en tijdige melding zijn dan ook niet alleen compliance-kwesties, maar fundamentele aspecten van een verantwoorde en duurzame bedrijfsvoering.

Forward Thinking

De bijgewerkte richtsnoeren in het kader van Verordening (EU) 2021/821 geven een duidelijke boodschap af: bedrijven moeten hun verantwoordingsplicht serieus nemen bij de uitvoer van technologieën voor cybertoezicht. Deze tools zijn weliswaar innovatief, maar brengen risico's met zich mee als ze onjuist worden gebruikt, en de gevolgen - juridisch, financieel en reputatieschade - kunnen ernstig zijn. Bedrijven moeten zich voorbereiden op uitgebreide regelgevende onderzoeken, aangezien updates de bedrijven meer begeleiding bieden. Deze toegenomen controle door regeringen en internationale organisaties onderstreept het groeiende belang van het aanpakken van de risico's van deze technologieën.
Bovendien weerspiegelt het evoluerende regelgevingslandschap een toenemende vraag naar ethische innovatie. Consumenten en zakelijke partners geven steeds meer prioriteit aan bedrijven die zich houden aan de wereldwijde mensenrechtennormen en blijk geven van toewijding aan hun privacy en ethische praktijken. Door te anticiperen op deze verschuivingen kunnen bedrijven niet alleen zorgen voor naleving, maar deze veranderingen ook benutten als kansen om het voortouw te nemen op het gebied van verantwoorde innovatie.

RSM is een thought leader op het gebied van International Trade en Emerging Technology consulting. We bieden frequente inzichten door middel van training en het delen van thought leadership op basis van een gedetailleerde kennis van ontwikkelingen in de sector en praktische toepassingen in het werken met onze klanten. Wilt u meer weten, neem dan contact op met een van onze adviseurs.

 

 

 

 

[1] Commissie publiceert richtsnoeren voor exporteurs van cybertoezicht - Europese Commissie