Nieuws & Blogs – Dual-use en de relevantie van exportcontrole en sanctiebeleid voor de IT-dienstverlener

0
464

Wat hebben drones, broedkasten, nachtkijkers en jouw nieuwste app met elkaar gemeen?

‘Dual-use’ en sanctiegoederen

We gebruiken in het dagelijks leven allerlei producten, diensten en technologieën die op het eerste oog in meer of mindere mate onschuldig lijken, maar in de verkeerde handen toch grote schade kunnen aanrichten. Dit soort ‘dual-use goods’, letterlijk ‘goederen voor tweeërlei gebruik’ – zo genoemd omdat zij zowel militaire als civiele toepassingen hebben – zijn daarom als gevolg van een verzameling internationale afspraken onderworpen aan strenge export- en soms ook importregulering. Naast algemene ‘dual-use goods’ die vanwege hun mogelijke eindgebruik op de verschillende internationale lijsten zijn opgenomen, is het ook mogelijk dat handel met specifieke combinaties van goederen en eindbestemmingen (bijvoorbeeld risicolanden of zelfs individuele personen) als gevolg van sancties aan regulering is onderworpen.

Relevantie voor de IT-dienstverlener

Hoewel de term verwijst naar goederen, kan ook een bepaalde techniek, een dienst of bijvoorbeeld een stukje code een ‘dual-use good’ zijn. Bedrijven en personen die zich bezighouden met op eerste oog onschuldige export kunnen er in sommige gevallen toch goed aan doen om eens na te gaan of zij misschien toch een ‘dual-use good’ exporteren.

In sommige gevallen is dat vrij vanzelfsprekend, zoals bij nachtkijkers of grondstoffen waarmee chemische wapens kunnen worden ontwikkeld. Toch zijn er veel gevallen waarin de militaire toepasbaarheid minder vanzelfsprekend is. Denk hierbij aan opslagcontainers die zó stevig zijn dat blijkt dat er explosieven in onklaar gemaakt kunnen worden, metalen die gebruikt kunnen worden om centrifuges voor uraniumverrijking te bouwen, of industriële koel- en broedkasten die dienst kunnen doen als martelwerktuig.

Om het wat dichterbij te brengen: voldoende geavanceerde encryptiesoftware (ook embedded) en drones kunnen in de verkeerde handen ook flink wat narigheid veroorzaken en zijn daarom onderworpen aan exportregulering. Een ander voorbeeld is inbraakprogrammatuur die gebruikt wordt door security testers. Het melden van zero-days en andere exploits kon voorheen tevens gelden als export van ‘dual-use goods’. Dit laatste is in 2017 naar aanleiding van bezwaren uit de securitywereld aangepast.

Ook de term export of ‘uitvoer’ is breder dan hij misschien op eerste gezicht lijkt. Het internationaal (in ons geval: buiten de Europese Unie) aanbieden of opslaan (denk aan clouddiensten) van software en het voor persoonlijk gebruik meenemen van spullen op vakantie of zakenreis is in feite export. Bij het aanbieden van een app in bijvoorbeeld de Apple App Store wordt er in principe zelfs twee keer geëxporteerd: eerst vanuit Nederland en vervolgens vanuit de VS, waar de App Store geëxploiteerd wordt.

Regulering van dual-use- en sanctiegoederen

De internationale exportregulering van ‘dual-use goods’ is in de eerste plaats gebaseerd op de Wassenaar Arrangement. Dit is een internationaal “akkoord” en slechts in zeer beperkte mate bindend voor de aangesloten landen. De relevantie van de controlelijsten (de lijsten met goederen en technologieën die onder het akkoord vallen) en ‘best practice’ compendia opgenomen in het akkoord is afhankelijk van de implementatie ervan door de verschillende aangesloten landen.

De controlelijsten van de Wassenaar Arrangement, die jaarlijks worden herzien, worden door de Europese Unie overgenomen in de bijlagen van de Europese Dual-use Verordening. Als gevolg hiervan is handel in ‘dual-use goods’, met name export en de (aanwezigheid van de) bijkomende vergunningsplichten, in de EU deels geharmoniseerd. Het akkoord en de verordening zijn bedoeld om te voorkomen dat de betreffende technologieën in de verkeerde handen vallen en schrijven daarom slechts exportcontrole voor. Toch hebben veel landen ook regels omtrent de import van ‘dual-use goods’. Het is bij de export van ‘dual-use goods’ dus niet voldoende om de regelgeving van het land voor oorsprong te kennen. Ook de regels die gelden in de eindbestemming moeten in acht worden genomen.

Ook zijn er landen die nóg een stapje verder gaan. De VS kent bijvoorbeeld de ‘de minimis’ regel, die bepaalt dat producten die voor een bepaald percentage van Amerikaanse oorsprong zijn, altijd aan de Amerikaanse exportregulering moeten voldoen, zelfs als ze vanuit een ander land geëxporteerd worden en daarbij niet op Amerikaans grondgebied komen.

Vergunning vereist?

De verordening en het akkoord bepalen dat export van bepaalde ‘dual-use goods’ onderhevig zijn aan verschillende vergunnings- en notificatieplichten. De Nederlandse export-, vergunnings- en notificatieregelingen omtrent ‘dual-use goods’ zijn opgenomen in onder andere het Besluit Strategische Goederen en de Algemene Douanewet.

Blijkt een product op de controlelijsten van de verordening te staan, dan kan het zijn dat er een uitzondering van toepassing is. Is dat niet zo, dan is er in veel gevallen sprake van een vergunningsplicht. Dergelijke vergunningen worden afgegeven door de bevoegde autoriteiten van de betreffende lidstaat. In Nederland is dit de Centrale Dienst voor In- en Uitvoer van de Douane.

Zowel het raamwerk van exportregels als de verschillende vergunningsstelsels zijn erg complex. Toch is het voor veel bedrijven belangrijk om zich hierin te verdiepen. Overtredingen van export- en sanctieregels worden in Nederland aangemerkt als economische delicten. Hierbij kunnen taakstraffen, geldboetes, hechtenis en stillegging van de onderneming van de veroordeelde worden opgelegd.

Wat moet je hiermee als IT-dienstverlener?

Exporteer je mogelijk ‘dual-use goods’ of is er mogelijk een sanctie van toepassing op jouw handelsrelatie? Dan is het cruciaal dat er binnen jouw organisatie aandacht wordt besteed aan exportcontrole en sanctiebeleid. Het kan in die gevallen erg nuttig zijn om advies in te winnen.

In toekomstige blogs zullen we verder ingaan op de Nederlandse vergunningsstelsels rondom export van ‘dual-use goods’ en zullen we aandacht besteden aan praktische voorbeelden die relevant kunnen zijn voor IT-dienstverleners, zoals ontwikkelaars en leveranciers van encryptietechnologie en inbraakprogrammatuur.

Source link

Vorig artikelNieuws – RDW-case illustreert omvang domeinnaammisbruik
Volgend artikelNieuws – .nl in de spotlight: mrsjef.nl