In onze vorige dual-use blogs hebben we het gehad over de exportcontrole van dual-use goederen in het algemeen en het bijbehorende vergunningsstelsel. Tot het plotseling relevant wordt, bijvoorbeeld bij een nieuw ontwikkeld product of in een overeenkomst met een grote wederpartij, is dual-use voor de meeste IT-dienstverleners nogal een ‘ver-van-je-bed-show’. In deze blog gaan we kort in op één van de typen dual-use regulering waar men als IT-dienstverlener waarschijnlijk het eerst mee in aanraking komt, namelijk die van goederen voor informatiebeveiliging, waaronder encryptie.
Zoals eerder benoemd ziet de term “dual-use goederen” op meer toe dan alleen fysieke producten. Dual-use goederen worden in de relevante lijsten ingedeeld aan de hand van internationaal gebruikte codes. In Nederland noemen we dit de Strategische Goederenpost (“SGP”) code. Het tweede karakter (één van de letters A tot en met E) in de SGP-code geeft de soort dual-use “goederen” weer:
Letter |
Soort goederen |
A |
Systemen, apparatuur en onderdelen |
B |
Test-, inspectie- en productieapparatuur |
C |
Materialen |
D |
Programmatuur |
E |
Technologie |
Informatiebeveiliging is in de dual-use controlelijsten gedefinieerd als:
“Alle middelen en functies ter verzekering van de toegankelijkheid, geheimhouding of integriteit van gegevens of communicaties, zonder inbegrip van de middelen en functies die zijn bedoeld als beveiliging tegen storingen [..]”.
Voor elk van de goederensoorten A tot en met E, met uitzondering van C (Materialen), is in de dual-use controlelijsten een SGP-code voor informatiebeveiliging opgenomen. Behoudens aanvullende criteria of uitzonderingen die zien op de specifieke goederensoort, wordt er bij de definitie van een goederensoort vaak terugverwezen naar de eerstgenoemde SGP-code, namelijk 5A002, die betrekking heeft op:
“Systemen en apparatuur voor "informatiebeveiliging" en componenten [daarvan]”.
Hierbij verwijst “5” naar de categorie ‘Telecommunicatie en informatiebeveiliging’, “A” naar de soort en “002” naar het nummer binnen die categorie en soort. Wanneer er mogelijk sprake is van informatiebeveiliging met embargostatus – of dit nu gaat om hardware, software of o.a. dienstverlening en ondersteuning (deze laatste onderwerpen vallen onder E (Technologie)) – is het daarom belangrijk om naar 5A002 te kijken. Alvorens dat te doen moeten ook de algemene noten, cryptografienoten en technische noten, opgenomen aan het begin van categorie 5, deel 2, worden doorgenomen. Hier staan veel belangrijke criteria en uitzonderingen opgenomen die kunnen bepalen of uw specifieke goederensoort voor informatiebeveiliging of encryptie (ook onder andere SGP-codes) een dual-use embargostatus heeft.
Zo is er, onder andere, ten aanzien van verschillende ‘systemen en apparatuur en componenten’ en ‘programmatuur’ bepaald dat zij niet onder het regime vallen als aan de volgende voorwaarden is voldaan (dit werkt vervolgens, zoals beschreven, door onder verschillende relevante SGP-codes):
In het kader van de regulering van de export van informatiebeveiliging en cryptografie zijn de volgende SGP-codes van belang: 5A002, 5A003, 5A004, 5B002, 5D002 en 5E002. Mocht u twijfels hebben of uw product of dienst onder één van deze codes valt, of over de toepasselijkheid van uitzonderingen, dan is het verstandig om contact op te nemen met een specialist of een indelingsverzoek in te dienen bij de Centrale Dienst In- en Uitvoer van de douane.
Exportregulering is voornamelijk relevant als er sprake is van ‘uitvoer’. Toch kunnen vraagstukken omtrent de dual-use status van informatiebeveiliging en encryptie uit een onverwachte hoek komen, bijvoorbeeld bij levering aan een internationale partij die zelf van plan is uw product te exporteren. Die partij eist mogelijk dat u dingen toezegt over de eventuele embargostatus van uw product en/of dat u zelf de juiste vergunningen heeft verkregen.
Neem bijvoorbeeld het aanbieden van apps via de Apple Appstore. Niet alleen dient u in dat geval uw eigen eventueel benodigde vergunningen te verkrijgen (immers exporteert u dan naar de VS waar Apple gevestigd is en bent u in principe verantwoordelijk voor de volledige supply chain), maar vraagt Apple tevens dat u uw product beschouwt vanuit de Amerikaanse exportwetgeving die op hen van toepassing is wanneer zij uw app weer vanuit de VS exporteren.
Embargostatus van uw informatiebeveiligings- of cryptografieproduct betekent nog niet direct dat een ingewikkeld en veeleisend vergunningsaanvraagtraject vereist is. Zoals eerder genoemd zijn er algemene vergunningen beschikbaar voor export van dual-use goederen die relatief weinig risico’s meebrengen, of van dual-use goederen die in feite ‘bulkgoederen’ zijn geworden zoals encryptie. Het belang van de balans tussen de risico’s en belangen gemoeid met de vrije verhandeling van informatiebeveiligingsproducten is in Nederland al eerder erkend. Zo kan men in Nederland voor uitvoer van goederen onder 5A002, 5D002 en 5E002 naar bestemmingen waarvoor het risico op bijdrage aan mensenrechtenschendingen niet bestaand tot minimaal is, gebruik maken van de nationale algemene uitvoervergunning ‘NL010’ en wordt een vergelijkbare algemene vergunning binnenkort ook op Europees niveau beschikbaar.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.