Een Amerikaanse rechter heeft bepaald dat Google ook e-mails die op servers buiten de VS zijn opgeslagen moet overdragen aan de FBI in een zaak over binnenlandse fraude. Dat meldde Nu.nl onlangs. Deze beslissing staat lijnrecht tegenover de hogerberoepszaak van Microsoft dat géén berichten opgeslagen in het buitenland hoefde af te geven aan de Amerikaanse justitie. Daarmee is vooral de kans levensgroot geworden dat dit naar de Supreme Court gaat, dat zo een definitieve uitspraak moet gaan doen over of Amerikaanse cloudbedrijven nog zaken mogen doen met Europese klanten.
De zaak begon relatief simpel: de FBI had twee warrants bij Google neergelegd om e-mails te vorderen van verdachten in twee strafzaken. De verdachten woonden in de VS, de strafzaken waren in de VS begaan en de andere partijen bij de mails waren ook allemaal Amerikaans. Om technische redenen bleek Google een deel van de maildata toch buiten de VS te hebben opgeslagen, en met een beroep op het Microsoft-precedent van vorig jaar weigerden ze daar dan ook inzage in te geven.
De rechter die de warrant had afgegeven, bepaalt nu dat ook die buitenlandse data gewoon afgegeven moet worden. Het Microsoft-precedent lag anders. Daar was de data in beheer bij een Ierse dochter. Als je daar als Europees burger zaken mee doet, dan sta je wel héél raar te kijken als de FBI je data meeneemt. Dat raakt dan aan je privacyverwachting, en de regels over warrants zijn uiteindelijk geschreven om de privacy van de burger te beschermen.
Hier lag dat anders: als je als Amerikaan met een Amerikaan mailt via de Amerikaanse dienst Gmail, dan wéét je dat de FBI jurisdictie heeft en zo nodig je mails kan opvorderen met een warrant. Dat er dan toevallig op de achtergrond af en toe een blokje van je data in het buitenland staat, maakt dan niet meer uit. Voor hetzelfde geld was die morgen weer terug in de VS en dan hadden we deze hele discussie niet gehad. Dus niks privacyverwachting.
Op zich een begrijpelijke uitkomst, maar het creëert wel weer een hoop onzekerheid over waar we nu staan met de Europese cloud. Want zou het ook zo uitpakken als een van de partijen Europees was? Dat is alweer een stapje verder richting het mogen opvragen van ieders data.
In ieder geval, we hebben nu twee tegengestelde uitspraken over data in het buitenland. En de kans is daarmee levensgroot dat de zaak naar de Supreme Court gaat voor een definitieve beslissing. Of dat goed nieuws is, kun je je afvragen: de Supreme Court is niet perse positief over privacy van buitenlanders. Daar staat tegenover dat zolang er 8 rechters in zitten (in plaats van de gebruikelijke 9) de kans op een ‘hung court’ groot is, en dan blijft het precedent van Microsoft in stand. Dát zou erg waardevol nieuws zijn, want alleen met zo’n uitspraak kan de cloud in stand blijven.
Arnoud
Ach, wat boeit het allemaal als vandaag de meerderheid van de Tweede Kamer de burgers verloochent en de #sleepnetwet er voor de verkiezingen nog even door drukt? Dat terwijl er een hele reeks aan organisaties en experts aangeeft dat dit gewoon niet kan, laat staan zou moeten (mogen).
Was het niet zo dat op basis van de Patriot act de VS het recht kreeg om alle data van een organisatie op te vragen, ook als die data bij (dochter)organisaties in het buitenland was opgeslagen? Zolang er maar een kantoor/vestiging/vertegenwoordiging in de VS was, viel het bedrijf (en alle eventueel buitenlandse delen ervan) onder de Amerikaanse wet. Als dat klopt, dan is de uitspraak in de zaak van Microsoft toch juist vreemd? Want het was de Ierse vestiging waar de data stond, dus eigendom van Microsoft.
De enige manier om hier onder uit te kunnen komen is door zelfstandige bedrijven te hebben die samenwerken maar geen gemeenschappelijk moederbedrijf hebben. En dat lijkt niet het geval te zijn in de zaak tegen Google; het lijkt mij niet meer dan logisch (even los van de belachelijke reikwijdte van die Patriot Act) dus dat Google die data op moet hoesten.
Een dergelijke regel in de Patriot Act ken ik niet. Ze vinden inderdaad dat je onder US law valt als je een band met de VS Hebt op welke wijze dan ook, maar dat is natuurlijk maar beperkt af te dwingen als de spullen feitelijk in het buitenland staan en er ook niet echt iemand te ‘pakken’ is.
Ik doelde onder andere op de uitspraken van Gordon Frazer, Microsoft-topman in de UK. Zie hier: Amerika graait in Europese Cloud data. In de derde paragraaf wordt overigens een korte samenvatting gegeven van waar ik aan refereerde.
Dank voor de link, maar ik heb géén idee welk artikel uit de Patriot Act deze Microsoft-topman dan voor ogen heeft. Ik krijg het gevoel dat die naam als algemene wegwuifterm wordt gebruikt om snel even te onderbouwen dat er geen garantie gegeven kan worden.
Wat doet het er toe wat Amerikaanse rechters zeggen? Het gaat er toch om wat dochter-ondernemingen / werknemers in Europa mogen? Als die volgens de in Europa geldende wetgeving de gegevens niet mogen overhandigen aan de FBI, dan maken uitspraken in de VS toch niets uit?
Als die Amerikaanse rechters doorpakken en zeggen, ga ze maar bij je dochter opvorderen en desnoods hun database hacken, dan doet dat er voor ons zéker wel toe.
Europese dochter vervolgen en dusdanige boetes opleggen (bij herhaling oplopend tot veel meer dan de in de EU gemaakte winst) dat voldoen geen keuze meer is omdat het de bedrijfsvoering onderuit haalt.
Kan de VS moeilijk over gaan zeuren, zo dwingen ze zelf bij de hele wereld FATCA af.
“De dochter blijft weigeren” en “de database is goed beveiligd; we hebben geen idee hoe we dat zouden kunnen hacken” zijn toch plausibele antwoorden? Als een internetbedrijf daar niet mee weg komt, dan wordt het op een gegeven moment: of weg uit Europa, of weg uit de VS. Weg uit de VS is pijnlijk voor Amerikaanse bedrijven, maar het is wel de keuze die, als Europa dit goed aanpakt, de minste problemen oplevert.
Europese beleidsmakers zouden dit goed moeten begrijpen: als je dit handig aanpakt, is dit een gouden kans om een boel internet-dienstverlening uit de VS naar Europa te trekken.
Deze discussie hoort toch helemaal niet over privacy te gaan? De FBI vraagt niet om de mails om ze in te mogen zien, maar om ze officieel gezien te mógen hebben. De inhoud van de communicatie door de verdachten van deze zaak is al lang bekend (bij de FBI), dus gaat wat mij betreft het naampje privacy al lang niet meer op.
Het EU-personeel zou de gevraagde e-mails hooguit van alle opslagmedia kunnen wissen. Dan is hacken door VS-collega’s ook niet meer nodig. En onder de VS-jurisdictie vallen ze toch ook niet, m.b.t. sancties, of wel?
Best wel eng dat EU-personeel de mogelijkheid heeft andermans gegevens te wissen…
Lees je het misschien verkeerd? Het gaat hier niet om EU-ambtenaren, maar om Google-personeel dat werkt+verblijft binnen de EU. En het gaat alleen om gegevens die bij Google staat opgeslagen. Nogal wiedes dus dat ze die gegevens kunnen wissen. Als je dat eng vindt (ergens wel terecht), dan moet je je gegevens maar in eigen beheer opslaan, en niet in de (Google-)cloud.
In plaats van wissen, zou het personeel de gegevens ook in “cold storage” kunnen zetten (dus opslag-media die losgekoppeld worden van computers). Dan kan er ook niet gehackt worden, behalve misschien via fysieke inbraak of social engineering.
De vraag die je ook kunt stellen is of Google eigenlijk wel het recht heeft om emails van Amerikanen aan andere Amerikanen buiten Amerika op te slaan. Immers, op die manier zou een buitenlandse mogendheid ook een claim kunnen leggen op die emails omdat die op hun grondgebied worden opgeslagen. Kortom, een potentiële privacyschending…
De vraag is of Google hiermee een onrechtmatige daad heeft gepleegd die de privacy van zijn gebruikers in gevaar brengt.
Vrijwel elk land waar google dtacenters heeft heeft meer privacy bescherming dan de VS, dus wat verliest een Amerikaan dan?
Erg veel, aangezien die andere landen er alsnog een claim op kunnen proberen te leggen omdat de data op hun grondgebied wordt bewaard. Ook al is de privacy-wetgeving zwaarder, ze kunnen er dan wel bij komen. Dat is niet het geval als de data alleen in de USA wordt opgeslagen.
Of we spreken af dat datacentra toebehoren aan het land van waar het hoofdkantoor van dat bedrijf is gevestigd. Dat klinkt wellicht wat raar, maar bedenk wel dat we dat ook zo doen met ambassades. Daarom mag een politieagent ook niet zomaar een ambassade binnenvallen om iemand te arresteren, want dan arresteren ze feitelijk iemand op buitenlands grondgebied. Zo kunnen we dat dus ook voor datacentra laten gelden.
Wat raar, een datacenter is toch gewoon privaat eigendom, bedrijfsruimte? Volgens die regel zouden McDonald’s vestigingen dan onder Amerikaans recht vallen?
Google dacht slim te zijn met hun argument van verspreide emails zodat er niemand jurdisch verantwoordelijk voor zou zijn. Maar de rechter heeft hier besloten dat als de mails niet direct onder een ander lamds jurisdictie valt dat ze dan wel onder zijn jurisdictie moeten vallen.