Je mag niet zomaar goederen, software en technische data exporteren naar het buitenland, daar zijn strenge restricties voor, vooral vanuit de Verenigde Staten. Onderdeel van een effectief compliance programma rondom deze export controls is databeveiliging. Als dit niet goed op orde is, kan dat je duur komen te staan.

Je gewoon aan de regels houden, dat is toch niet zo ingewikkeld? Niets is minder waar, zeggen Sylvie Bleker, programmadirecteur van de postdoctorale opleiding Compliance & Integrity en compliance & risk officer bij Stork en Walter Swinkels, Senior Manager Risk Services bij Deloitte. Beiden zijn gespecialiseerd in compliance rondom export control.

Een voorbeeld: "Als een Nederlands bedrijf een halffabrikaat koopt in Frankrijk en dat halffabrikaat blijkt gecontroleerde onderdelen te bevatten uit de VS, moet het Franse bedrijf een vergunning aanvragen in Amerika. Als het product af is en Nederland wil het doorverkopen aan Turkije, moet Nederland ook weer een vergunning aanvragen bij de Amerikanen."

Complexe regels

Export control gaat over export van goederen, diensten en technische informatie. De vaak zeer complexe internationale regelgeving is opgesteld om het verspreiden van goederen, diensten en informatie onder controle te houden en om de economische- en veiligheidsbelangen van landen te dienen.

Het naleven van de exportcontroleregels kan een bedrijf behoeden voor reputatieschade, ontzegging van privileges en civiele- en strafrechtelijke sancties. "De boetes die de VS oplegt voor het overtreden van de regels zijn zo hoog dat dit het einde van je business kan betekenen", zegt Bleker.

Datastroom

Data is een steeds belangrijker onderdeel van export control. De datastroom heeft door de opkomst en het gebruik van internet, laptops en smartphones en de enorme toename van het e-mailverkeer een vlucht genomen.

En wat voor goederen en diensten geldt, geldt ook voor (technische) data: dat mag niet zomaar worden geëxporteerd. Voor technische data bestaan strenge eisen. "Je kunt niet zomaar een technische tekening van een vliegtuig mailen naar iemand in een ander land", legt Swinkels uit.

Classificatie

Dus alvorens je deze technische data wilt exporteren, moet je nagaan of je aan de exportrestricties voldoet. Dat heet classificeren. Maar dat is niet eenvoudig, doordat de exportwetgeving per land verschilt, legt Bleker uit. "Het juist interpreteren van die wet- en regelgeving helpt je bij het classificeren van im- en exportgoederen, diensten en data. Alleen door de wetten te begrijpen kun je de juiste keuzes maken."

Door de enorme expansie van data zijn bedrijven zich steeds beter bewust van het belang ervan. Ook als het dus gaat om exportcontroleregels. Deze bewustwording is volgens Swinkels cruciaal voor het onder controle houden van de exportproblematiek.

Oude Nokia

Toch zijn de keuzes die worden gemaakt om aan de strenge eisen te voldoen, nog niet altijd de juiste. "Bedrijven weten niet altijd welke technische data ze mogen exporteren, dus willen ze helemaal voorkomen dat er technische data wordt geëxporteerd."

"Niet door hard aan de slag te gaan met het beveiligen van hun digitale informatie met beschikbare technieken, maar door het beperken van mogelijkheden; bijvoorbeeld door gebruik te maken van oude Nokia-telefoons tijdens buitenlandse reizen in plaats van de reguliere smartphone, met als risico dat een werknemer, zich niet bewust van de gevaren, op een gastcomputer inlogt op het bedrijfsnetwerk en dan onbewust data exporteert in een onveilige omgeving. Er is dus nog wel wat terrein te winnen op dit gebied."