Wanneer is een cloudprovider Amerikaans (of Nederlands)?

cloud-flag-usaEen lezer vroeg me:

Vorig jaar blogde je over de Amerikaanse cloud en de risico’s daarvan. Maar wat maakt een cloudprovider “Amerikaans”? Moet je dan kijken naar de rechtsvorm van het bedrijf, de locatie van de servers, wat men op de site zet of welk ander criterium geldt er?

Met de term “Amerikaanse cloud” bedoelde ik clouddienstverleners waar de Amerikaanse overheid (rechts-)macht over kan uitoefenen. Een in de VS gevestigde en opererende partij (Amazon Inc. met haar datacenter in Virginia bijvoorbeeld) valt hier evident over. Maar ook het Amerikaanse Google Inc met haar datacenter in Groningen, Nederland valt eronder. Het bedrijf zelf opereert in de VS en kan dus door de rechter aldaar worden gedwongen data uit dat Nederlandse datacenter over te hevelen naar de Amerikaanse politie of Justitie.

Wat nu als het een Nederlandse BV is die eigenaar is van dat datacenter? Dat lijkt niet veel uit te maken, want men kan dan nog steeds de Amerikaanse moedermaatschappij bewerken en die kan dan haar dochter sommeren de data te overhandigen. Als de moedermaatschappij immers de zeggenschap heeft, dan kan de dochter daar niets tegen doen. Als in het contract tussen moeder en dochter staat dat de moeder niets mag vragen dat tegen de lokale wetgeving van de dochter in gaat, of als de dochter zegt dat de opdracht gewoon in strijd is met die lokale wetgeving, dan wordt het spannend. Of en hoe dát standhoudt durf ik echt niet te zeggen.

De omgekeerde situatie kan ook: een Nederlandse BV die servers fysiek in Amerika ondergebracht heeft (gehuurd of gekocht of virtueel). Die BV valt niet onder Amerikaans recht, maar de partij in wiens lokaal die servers fysiek staan wél. En langs die weg kan dan alsnog een gerechtelijk bevel tot inzage van de servers worden afgegeven. De Nederlandse BV kan de data encrypten (Mega, kom d’r maar in) zodat de Amerikaanse overheid niets met die data kan, maar het zal van de bedrijfsvoering afhangen of dat haalbaar is.

Maar ook als een bedrijf geen fysieke banden met een land heeft, kan dat land soms toch rechtsmacht uitoefenen tegen het bedrijf. Wanneer een bedrijf zich expliciet richt op een land, dan is het goed verdedigbaar dat dat land daar dan wat over mag zeggen. Een webshop die in het Nederlands is, iDealbetalingen toestaat en bezorgt via Postnl valt onder Nederlands recht. Dat de domeinnaam een .com is en de server in Duitsland staat, doet er dan niet meer toe. Je zou zoiets ook prima op een clouddienstverlener kunnen toepassen.

In het strafrecht ken ik geen vergelijkbare jurisprudentie, maar het Wetboek van Strafrecht kent wel de nodige expliciete bepalingen die mensen in het buitenland strafbaar maken onder de Nederlandse wet. Natuurlijk is het wel lastiger om een buitenlander hier te veroordelen én te bestraffen, maar als er een uitleveringsverdrag is dan zijn er mogelijkheden. En binnen de EU kan dit via overlevering bereikt worden.

De ietwat platte samenvatting is dus dat je onder het recht van een land valt als ze bij jou of bij je spullen kunnen. Dat kun je aankleden met allerlei mooie rechtstheorieën maar volgens mij komt het uiteindelijk daarop neer.

Arnoud

27 reacties

  1. Hoi Arnoud,

    Nu een aanvullende vraag, wat nu als het bedrijf in beginsel Nederlands is (Holding BV) en een dochtermaatschappij in de VS heeft. Vervolgens worden door werknemers van die Amerikaanse entiteit servers beheerd (over de hele wereld), kan de Amerikaanse overheid de data dan nog steeds opvragen via die Amerikaanse werknemers?

  2. Er hoeft toch niets in het contract tussen moeder en dochter bedrijf te staan? De beheerder in Nederland mag toch geen handelingen uitvoeren die in strijd zijn met het Nederlandse recht. Het moederbedrijf zal waarschijnlijk wel de dochter de opdracht kunnen geven de Nederlandse beheerder te verplichten de Amerikaanse beheerder rechten te geven op de Nederlandse systemen. En aangezien die opdracht legaal is mag hij vast niet geweigerd worden.

    1. Heel veel van deze zaken zijn niet zo duidelijk tegen de wet dat een Nederlandse dochter kan zeggen “doe ik niet”. In beginsel maakt de moedermaatschappij die beslissing. Bovendien, de Wbp biedt ruimte voor

      de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is;
      En als in alle privacyverklaringen van die zinnen staan over mogen gebruiken in verband met bevoegd gegeven bevelen van autoriteiten, dan kom je er helemaal snel.

      1. Maar veranderd een wettelijke verplichting van moeder naar dochter niet in een bestuurlijke opdracht? De Nederlandse dochter heeft rechtstreeks niets met de Amerikaanse wet te maken. Het moederbedrijf heeft de wettelijke verplichting. En het enige wat zij kan is de dochter een opdracht geven.

        Maar ik heb geen verstand van (bestuurs)recht.

  3. De hostingwereld zit soms gek in elkaar. Wanneer een Nederlands bedrijf een dedicated server huurt in de VS en de Amerikaanse overheid informatie van deze server wenst omdat een er misdaad is gepleegd, kan het op verschillende manier gebeuren. De grotere bedrijven zoals Amazon en Rackspace zullen nog vriendelijk vragen, maar de kleinere bedrijven (die zijn vaak groter dan de betere Nederlandse hostingbedrijven) zullen het anders spelen. Werk je bij hun niet mee mag je waarschijnlijk vertrekken, hoe goedkoper om zo sneller te afhandeling. In beide gevallen zou het Amerikaanse hostingbedrijf zich bij herhaling op de voorwaarden beroepen en de overeenkomst beëindigen. Hiermee wordt duidelijk hoeveel invloed de Amerikaanse overheid en ook de hostingbedrijven hebben.

  4. De ietwat platte samenvatting is dus dat je onder het recht van een land valt als ze bij jou of bij je spullen kunnen.

    Dat is de theorie. Maar wat is de praktijk? Is er ooit wel eens 1 stukje informatie opgevraagd uit een bestand dat bijvoorbeeld onder de safe harbour provisie (het verdrag over dataopslag tussen de VS en de EU) valt.

    Ik vermoed van niet. Het is voor de VS makkelijker om via de CIA een beheerder om te kopen om de data te stelen dan om een internationaal incident te veroorzaken over een dataopvraag.

    In tegenstelling tot wat men vaak suggereert zijn amerikaanse rechters niet zo scheutig met doorzoekingsbevelen en de kans dat je die krijgt voor europese data die binnen de safe harbour provisie valt lijkt me vrijwel nul.

    1. Klopt. Dat is ook mijn frustratie: het risico is er, je kunt het niet uitsluiten maar bewijs dat het daadwerkelijk gebeurt in de praktijk is er niet. En dat bewijs is er ook niet echt te krijgen, want zulke dwangbevelen zijn niet openbaar in te zien dus tenzij iemand aan de bel trekt, kom je het niet te weten. Net zo min als je bij ons te weten kunt komen hoe vaak Justitie een inzagebevel of een logbevel geeft.

      En PS: dit is geen forum, graag gewoon HTML kloppen 😉

          1. Bijna niemand kent basis HTML. Opmaak zaken als “em” en “strong” zijn in gebruik voor de meeste toepassingen al lang obsolete en vervangen door CSS.

            De UBB markup codes [i] en [b] zijn veel bekender en sluiten ook meer aan bij de tekens/icons in bijvoorbeeld office

      1. Dat is dus ook gelijk mijn frustratie. Dus ja, je kan verzoeken via de Patriot niet uitsluiten. Maar even pragmatisch. Als je een server gebruikt in een Nederlands datacenter bij de Nederlandse dochter onderneming van een Amerikaans bedrijf, val je dan in ieder geval qua data binnen de EU? (ivm de privacy wet)

        Het gevaar van de patriot act lijkt me echt zwaar overtrokken, vooral in de context van bijv. hosting van websites. Kijk, dat je een EPD zo op zet dat een buitenlandse overheid er niet bij kan dat snap ik, maar voor dingen als eenvoudige websites of zelfs in het geval van webwinkels lijkt het me een zwaar overdreven angst gezien het grootste deel van die informatie waarschijnlijk ook eenvoudig op andere wijze te krijgen is.

      2. Sommige providers werken met een warrant canary (“bevelschrift” kanarie), waarbij je dagelijks een digitaal ondertekend bericht post met de tekst dat je nog geen bevelschrift hebt ontvangen, en je zodra je wel een bevelschrift ontvangt je de sleutel vernietigt, zodat je dat bericht niet meer kunt posten, en men dus uit de afwezigheid van zo’n bericht kan afleiden dat er iets aan de hand is.

        Of ’t werkt, waarschijnlijk één keer, daarna staat er in het bevelschrift ook netjes dat je een dergelijke sleutel niet mag vernietigen, en moet doorgaan met het posten. Daarna moet je het dus echt gaan zoeken in constructies met partijen in verschillende jurisdicties.

        1. Als het strafbaar is om te vertellen dat je een dwangbevel hebt gehad, dan lijkt het mij evident dat ook het weghalen van die kanarie strafbaar is. Ophouden met dagelijks nee zeggen is hetzelfde als ja zeggen. Dat is het soort bijdehandheid waar geen rechter sympathie voor op zal brengen.

          1. Je haalt helemaal niets weg. Je zegt alleen niet langer dat je geen dwangbevel hebt ontvangen, sterker, je maakt het jezelf onmogelijk dit te doen. Het is inderdaad een soort van bij-de-handheid die je beter kunt oplossen door de toegang tot gevoelige informatie of configuratiewijzigingen zodanig te organiseren dat je langs verschillende jurisdicties moet die elkaar niet al te sympathiek vinden.

            Het probleem dat we moeten oplossen is dat het “recht” soms uiterst krom is, en niet alleen in bekende boevenstaten als Noord Korea, maar ook in “fatsoenlijke” landen. Zo is bijvoorbeeld het smaad en laster systeem in het VK is uiterst problematisch met zijn “superinjunctions” (geheim bevelschrift dat voor iedereen geldt) en “hyperinjunctions” (als hiervoor, maar dan mag je zelfs parlementsleden hier niets over vertellen, soms met zeer schadelijke gevolgen voor het milieu). Dan is een stukje “burgerlijke ongehoorzaamheid” (verzet) op zijn plaats. Wie regelmatig in verschillende landen reist zal merken dat ook in onze “democratieën” het niveau van censuur aanmerkelijk is (kijk maar eens naar YouTube in Duitsland, of probeer sommige Nederlandse nieuwssites in de VS te volgen) — mogelijk zijn de beweegredenen voor de censuur iets anders, maar het effect is hetzelfde: toegang tot kennis en cultuur wordt gefrustreerd.

            Uiteindelijk geldt natuurlijk dat de wetgever uiteindelijk gewoon de macht heeft, die eventueel met geweld kan doordrukken wat hij wil… vandaar dat een democratische controle en effectieve bescherming van grondrechten nodig is, en vandaar ook dat ik “persvrijheid” als grondrecht boven andere grondrechten wil stellen, omdat transparantie essentieel is voor een goed bestuur.

  5. Ik ben laatst op zoek geweest naar een email-provider die (a) niet Amerikaans is en (b) geen servers heeft in de Verenigde Staten. (Vooral vanwege het complete gebrek aan privacy; Amerikaanse overheidsinstanties kunnen met minimale redenen alle email opvragen die ze willen.)

    Zo’n provider vinden is nog best moeilijk; ik ben uiteindelijk gegaan voor een eigen domein op een server waarvan ik weet dat ie in Nederland staat.

    1. Hoi Eric, klopt het aanbod van cloud email providers is erg klein. E-mail vinden providers in het algemeen niet zo prettig (veel werk weinig opbrengst) Je kan een keer Rackspace UK proberen (weet niet zeker of het bedrijf in de UK ook echt een engels bedrijf is)

  6. Er is ook nog een andere route natuurlijk. Wij krijgen zo nu en dan verzoeken binnen van buitenlandse “openbare ministeries” of de politie in het buitenland. Een afwijzing met een verzoek om het met rechtshulpverzoek via het OM in Nederland nogmaals te proberen volstaat dan veelal. In sommige gevallen krijg je daarna (al dan niet) netjes een vordering van de OvJ in Nederland om bepaalde informatie te verschaffen. Die toets ik dan (en bij twijfel bel ik met ICTRecht (plug ;)). Ervaring leert dat de Politie eerst contact opneemt om wat sleutels voor encryptie uit te wisselen.

    Recentelijk een vordering van de OvJ gehad die rammelde. Voldeed niet aan de eisen en verwees naar een artikel dat niet (meer) bestaat. Blijft goed opletten, je wil geen informatie verschaffen die je niet per se hoef te verschaffen. Privacy moet, waar de wet daarvoor ruimte biedt, beschermd worden.

  7. > In beginsel maakt de moedermaatschappij die beslissing.

    Oei! Beslissingen maak je niet, in het Nederlands, die neem je. In mijn Nederlands (bouwjaar 1955-1958) nog wel tenminste. Komt t.z.t een boos artikel over op mijn site, stond al heel lang gepland. No hard feelings overigens, want taal leeft. Pas nog dingen uit 1865 gelezen (gedigitaliseerde tijdschriften, Koninklijke Bibliotheek), staan soms dingen in die nu echt niet meer kunnen.

  8. Traffic-limiet? Ja, theoretisch wel, in de praktijk haal ik nooit vijf of tien procent daarvan. Anders gewoon wat extra inkopen, kost ook bijna niks.

    Op VPS zit via FreeBSD (of smaken Linux, wat jij wil) en sendmail gewoon een complete mailserver, dankzij Milter-greylist en Spamassassin heb ik die ook vrijwel spamvrij.

    Clouds heb ik verder zelf geen verstand van, is dat niet gewoon hetzelfde als wat ze 20 jaar geleden een thin of lean client noemden? Toen een hype die het helemaal zou gaan worden, later weinig meer van gehoord, zoals zoveel dingen. Is Cloud niet het Virtual Reality van de 2010en?

  9. Bedankt voor de duidelijke uitleg en leuk te zien dat de “two cents” van 12 september vorig jaar dit hebben opgeleverd. Toch blijf ik echter met vragen zitten. Zijn er werkelijk meer risico’s als de hoster een Amerikaans bedrijf is op EU bodem is? Of kan een rechterlijk bevel om inzage van gegevens bij een EU hoster met datacentrum in de EU ook niet worden afgewezen? Kan de EU hoster ook simpelweg worden verplicht tot geheimhouding van de ontvangst van een dwangbevel?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.