De Europese privacytoezichthouders hebben Amazon’s clouddienst privacytechnisch goedgekeurd, las ik op diverse media. Daarmee zou Amazon Web Services ineens da juridische bomb (oké, The Register) zijn.
Het ligt iets subtieler: de contracten waaronder Amazon werkt, zijn voorzien van juridische clausules over export en gebruik van persoonsgegevens door Amazon. En die clausules zijn goedgekeurd, zodat Amazon voldoet aan de Europese regels op dat punt.
Wie persoonsgegevens wil laten verwerken door een ander, moet een bewerkersovereenkomst sluiten met die ander. Daarin wordt vastgelegd wat de bewerker (de opdrachtnemer, Amazon dus) mag doen met persoonsgegevens, wat hem verboden is en op welke manier hij de persoonsgegevens moet beveiligen.
Export van persoonsgegevens naar buiten de EU is daarbij een speciaal geval. Dit mag eigenlijk niet, tenzij het ontvangende land een net zo strenge wet heeft over persoonsgegevens als de EU. En geen enkel land buiten de EU heeft dat. Gelukkig zijn daar wat uitzonderingen op. Eén uitzondering ontstaat als je met je bewerker afspraken maakt conform de modelcontracten die de EU ooit heeft opgesteld. En de toezichthouders hebben nu dus bepaald dat Amazon’s contracten conform die modellen zijn.
Het wil echter niet zeggen dat het gebruik van de Amazon cloud zonder meer goed voor de privacy is. Er blijft nog altijd die ene angel bestaan waar Microsoft zich aan gestoken heeft: de Amerikaanse rechter vindt dat zij de macht heeft het Amerikaanse Microsoft te bevelen data af te geven die bij haar Europese dochters opgeslagen staat. Microsoft vecht dit aan, maar er zijn goede redenen waarom die rechter gelijk kan hebben.
Arnoud
Welke dan?
Een Amerikaans bedrijf moet dingen afgeven als de rechter dat eist, ook als die dingen in het buitenland liggen. En ook als ze bij een dochter-bv van het bedrijf ondergebracht zijn. Oftewel: ga maar halen en lever het maar in. Dit is een 400 jaar oud principe uit de common law waar het Amerikaans recht op gebaseerd is.
Dat het nu om clouddata gaat en persoonsgegevens van een Europeaan, daar gaat dat principe verder niet over. Het is bewijs, lever het in.
Microsofts tegenargument is dat het hier in feite om een doorzoeking gaat van een Europees datacenter en dát mag niet onder het Amerikaans recht want geen rechtsmacht. Daar valt ook wat voor te zeggen overigens.
Dat is allemaal geredeneerd vanuit het Amerikaanse recht, en dat is nou juist niet van toepassing in Europa.
Ik kan me hooguit voorstellen dat het Europese recht zodanig is dat dochterbedrijven verplicht zijn opdrachten van moederbedrijven uit te voeren zolang die niet tegen Europese wetgeving in gaan, en dat data uitleveren aan de Amerikaanse justitie toevallig niet tegen Europese regelgeving in gaat. Als dat allemaal zo is, dan zou dat een route kunnen zijn waarmee een Amerikaanse rechter in Europa gelijk kan krijgen.
Als zo’n route bestaat, dan bevalt dat mij natuurlijk helemaal niet. Ik denk dat Europese landen by default geen gehoor moeten geven aan data-verzoeken van niet-Europese landen, en de enige uitzondering zou kunnen gelden voor buitenlandse justitie die voldoet aan Europese normen. Het feit alleen al dat ze in de VS de doodstraf toepassen zou ze al moeten diskwalificeren.
Nou ja, dat is dus de vraag. Microsoft Inc valt onder Amerikaans recht, en behoort derhalve gewoon te doen wat de Amerikaanse rechter zegt. Als jij als Amerikaan iets verstopt in een Mexicaanse kluis, dan mag je naar Mexico gaan en die kluis leeghalen. Dat is Amerikaans recht, geen Mexicaans.
Maar als het mexicaans recht zegt dat jij wat in die kluis ligt niet mag exporteren, dan is dat mexicaans recht.
Ooit was de VS heel streng op de uitvoer van encryptie software, dat waren wapens! Denkt iemand echt dat als een europese rechter had opgedragen aan een Europese moeder om de encryptie software van de Amerikaanse dochter te overhandigen als bewijs in een zaak, dat die Amerikaanse dochter niet in de problemen zou komen met de Amerikaanse wapen export regels?
Punt is dat wanneer die Amerikaanse entiteit het niet doet, rechtsmaatregelen kunnen worden getroffen tegen die entiteit. Ik weet niet hoe groot die maatregelen kunnen zijn, maar dat kan Microsoft Inc zoveel pijn doen dat ze de dochter moeten afstoten, best wel een vet probleem.
Ik ben ook heel benieuwd wát de Amerikaanse cloudboeren gaan doen als de Supreme Court hier iets van heeft gevonden in hun nadeel (dwz; Moeder ga maar halen bij dochter).
Dat zou als er een Ierse wet is die dat verbiedt nog niet eens meevallen want weigeren de wet te breken in Europa is op zich heel legitiem. Dan zou er een Amerikaanse rechter een uitspraak moeten doen dat de amerikaanse wet ook in Europa boven de wetgeving van een EU land gaat en dat is eigenlijk ondenkbaar.
Het lastige is echter dan ik denk dat er in de EU waarschijnlijk geen goede wetgeving is om een bevel van een amerikaanse rechter te weigeren. Er is privacy wetgeving maar het is maar zeer de vraag of die hier van toepassing is. In die privacy wetgeving staat niet expliciet dat gegevens van EU inwoners aan de VS (of een ander land) verstrekt mogen worden.
Mocht de Amerikaanse Microsoft inc. inderdaad verdere rechtsmaatregelen willen voorkomen en de Ierse dochter opdracht geven de gevraagde gegevens aan te leveren, dan mag die dochter dat toch nog steeds niet doen? (Dochter moet zich toch houden aan de Ierse wet, niet aan de Amerikaanse?)
Vraag is natuurlijk of de Ierse wet dat expliciet verbiedt. Ik vind dat ook bij de Nederlandse WBP niet duidelijk. Zo staan er in onze nederlandse WBP ook gronden genoemd die je zou kunnen zien als toepasbaar op een bevel van een rechter:
De zaak van Microsoft gaat echter niet over een subpoena maar over een warrant. Dat is meer een soort doorzoekingsbevel. Daarmee kan een rechter niet alleen gegevens van een bedrijf opvragen maar bijvoorbeeld ook spullen die een bedrijf beheert voor een ander. In dit geval emails en gegevens opgeslagen op Microsofts onedrive die fysiek zijn opgeslagen in Ierland. Daar verzet Microsoft zich wel tegen want doorzoekingsbevelen kunnen normaal niet buiten de grensen worden afgedwongen.
Om duidelijk te krijgen wat het verschil is tussen een subpoena en een warrant kun je denken aan een bedrijf voor opslag boxen. Met een subpoena vraag je aan het bedrijf om gegevens over diens administratie of diens klanten klanten te ovehandigen. Bijvoorbeeld hoe lang ze een opslagbox huren of met welke creditcard ze betaald hebben. Met een warrant van een rechter kan een box zelf door de politie doorzocht worden. Daarbij zal vaak ook een geheimhoudingsbevel zitten zodat de huurder niet op de hoogte wordt gesteld dat zijn box doorzocht is. Het lijkt evident dat een rechter in de VS nooit een warrant zal uitgeven om in buiten de VS fysiek een opslagbox te doorzoeken. Toch probeert men dat nu in de digitale wereld wel.
Ik vind het sowieso dubieus om gegevens van anderen niet-encrypted bij een derde partij op te slaan; zelfs als die derde partij minstens zulke strenge privacy-regels hanteert als jijzelf. Het is toch een beetje “ik vertel jou dit geheim als jij belooft het geheim te houden”, en dat is niet een goede manier om een geheim geheim te houden. Hoe meer partijen toegang hebben tot gegevens, hoe meer mogelijkheden er zijn dat die gegevens uitlekken.
Dit is alleen een goed model als alle betrokken partijen het er over eens zijn dat het gegevens zijn die best openbaar mogen worden.
Oplossing is natuurlijk om gewoon alleen met puur Nederlandse/Europese cloudboeren zaken te doen. Dit is geen reclamemedium, maar iedereen kan zo zien waar ik gehost ben.