We leven in onrustige tijden. Vanwege de bezetting van Oekraïne werkt een aanzienlijk deel van de wereld samen om druk uit te oefenen op Rusland. Sancties spelen daar een belangrijke rol in. Als leverancier met klanten in Rusland of Oekraïne wil je hier netjes mee omgaan. In deze blog staan we stil bij de vraag waar jij als IT-leverancier precies staat, en wat je kunt doen om ervoor te zorgen dat je voldoet aan de geldende sanctiewetgeving. Met andere woorden: “hoe zet je je bedrijfsvoering voort, zonder daarbij de bezetting te ondersteunen”?
We hebben al eerder geschreven over de relevantie van exportcontrole en sanctiebeleid voor de IT-dienstverlener. Waar van origine “export” of “uitvoer” gestoeld is op de fysieke handeling - een persoon draagt een goed (al dan niet met behulp van een koffer, vrachtwagen of simpelweg zijn handen) een grens over – heeft de wetgever stappen moeten zetten om de bestaande exportregimes toepasselijk te maken binnen het digitale domein. De Europese Dual-use Verordening 2021/821 definieert de uitvoer van software en technologie als:
“de overdracht van programmatuur of technologie door middel van elektronische media […] naar een bestemming buiten het douanegebied van de Unie; dit omvat het in elektronische vorm beschikbaar stellen van deze programmatuur en technologie aan natuurlijke personen of rechtspersonen of aan partnerschappen buiten het douanegebied van de Unie; dit omvat ook de mondelinge overdracht van technologie […]”
De exporteur is in die gevallen de:
“[…] natuurlijke persoon of rechtspersoon die of […] partnerschap dat besluit via elektronische media […] programmatuur of technologie naar een bestemming buiten het douanegebied van de Unie te zenden of dergelijke programmatuur en technologie in elektronische vorm beschikbaar te stellen […] buiten het douanegebied van de Unie”
Ook als je als IT-leverancier geen fysieke producten levert, is het dus mogelijk dat je je in je dagelijkse bedrijfsvoering bezigt in export. Als je klanten hebt in Oekraïne of Rusland, bestaat er een kans dat die handelsrelaties en de betreffende transacties gesanctioneerd zijn.
Het pakket aan sancties dat vanuit de EU is opgelegd is omvangrijk en wordt iedere paar maanden iets aangepast en uitgebreid. Het volledige overzicht van gesanctioneerde goederen, diensten, sectoren en personen is te groot om in deze blog te behandelen, maar een greep hieruit is hopelijk voldoende om een beeld te geven van de omvattendheid van deze regels. Zo is momenteel de uitvoer van financiële producten en dienstverlening, consultancy, goederen en diensten met betrekking tot navigatie en zee-, lucht- en ruimtevaart, industriële goederen en grondstoffen, luxegoederen en dual-use goederen naar Rusland, beperkt of verboden.
Zoals gezegd ontwikkelt het sanctiestelsel zich continu. Dit heeft te maken met vooruitgangen in de techniek (zie bijvoorbeeld de nieuwe ‘catch-all clausule’ voor cybersurveillance, waaronder emotionele- en gezichtsherkenningsproducten in artikel 5 van de Dual-use Verordening 2021/821) en natuurlijk geopolitieke ontwikkelingen. Het voldoen aan sanctiewetgeving is dan ook een doorlopend proces.
Creëer bewustwording en verantwoordelijkheid
Ervan uitgaande dat jouw bedrijf zich niet om andere redenen bezighoudt met exportcontrole en sanctiebeleid – bijvoorbeeld omdat er sprake is van de export van dual-use encryptie of je bedrijf zich omwille van de export van andere dual-use producten zoals inbraakprogrammatuur begeeft in de relevante vergunningsstelsels – zal er een mate van bewustwording omtrent exportcontrole en sanctiebeleid moeten worden gecreëerd. Het is verstandig om iemand aan te wijzen die zich hier binnen de organisatie om bekommert.
Check je product en je klant
De volgende stap is screening. Niet alleen moeten jouw relevante producten en diensten worden geïnventariseerd: “staan mijn producten en diensten op een sanctielijst?”; maar ook je Russische en Oekraïense klanten moeten goed worden onderzocht: “wie zit er eigenlijk tegenover me?”, “wie zijn de aandeelhouders?” en “staan deze personen en organisaties op een sanctielijst?”. Dit kan ingewikkeld zijn.
Wees zorgvuldig; het is soms even zoeken
De aard van sanctiemaatregelen maakt dat deze vaak snel van kracht moeten worden om het gewenste effect te bereiken. Dit leidt tot haastig opgestelde wetgeving. Zo verbiedt de Verordening 833/2014 de export van alle dual-use goederen naar Rusland, maar omvat de relevante definitie van “dual-use” niet de eerdergenoemde nieuwe “catch-all clause” voor cybersurveillanceproducten uit de Dual-use Verordening 2021/821. Leveranciers van bijvoorbeeld gezichtsherkenningsproducten komen hierdoor in een ingewikkelde situatie terecht, doordat het niet duidelijk is of hun potentiële ‘catch-all’ dual-use product volgens de wetgever binnen de reikwijdte van de sanctieverordening dient te vallen.
Daarnaast is het zo dat gesanctioneerde personen of entiteiten verstopt kunnen zitten in een ingewikkelde bedrijfsstructuur. Het is dan noodzaak om uittreksels op te vragen bij de handelsregisters om er zeker van te zijn dat je niet met een gesanctioneerde partij of persoon in zee gaat.
Ten slotte moet er rekening worden gehouden met het feit dat niet alle in het kader van de bezetting van Oekraïne opgelegde sancties aan Rusland zelf zijn gericht. In Oekraïne zijn er regio’s die niet onder regeringsgezag vallen en waar gesanctioneerde Russische personen opereren. Naast de specifieke sanctieverordening voor Rusland (Verordening 833/2014) moet er daarom een breed pakket aan sancties in acht worden genomen.
Sanctiemaatregelen kunnen vele malen verder gaan dan reguliere exportcontrole. Waar de Dual-use Verordening 2021/821 de ongeautoriseerde uitvoer van dual-use verbiedt, stelt de sanctieregeling van Verordening 833/2014 dat het verboden is om dual-use producten “direct of indirect te verkopen, te leveren, over te dragen aan of uit te voeren naar” of voor Rusland. Dat betekent dat er zich situaties kunnen voordoen waarin je geen vergunningsplicht hebt ten aanzien van een bepaalde dual-use transactie, maar die transactie wél verboden is onder de sanctieregeling.
Overtreding van export- en sanctiewetgeving wordt aangemerkt als een economisch delict als in de Wet op de Economische Delicten. Dit kan vergaande consequenties hebben, waaronder gevangenisstraf. Bij verwarring of onduidelijkheid over de kwalificatie van producten of de screening van handelsrelaties is het altijd aan te raden om advies in te winnen.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.