De Supreme Court gaat uitspraak doen in de Microsoft-cloudzaak waarbij het Amerikaanse bedrijf door de rechter verplicht werd data van haar Europese dochter af te geven aan de FBI. Dat las ik (dank, tipgevers) bij Ars Technica. De zaak loopt al een tijdje en kan enorme gevolgen hebben voor de bruikbaarheid van de cloud voor Europese bedrijven. Want als het precedent wordt “ja dat moet je afgeven” dan wordt je data stallen bij zelfs een Europese dochter van een Amerikaans bedrijf een tikje ingewikkeld.
In 2014 bepaalde een rechter in de VS dat Microsoft Inc. (de Amerikaanse moeder) gehouden kon worden om gegevens van een klant van haar Ierse dochtermaatschappij af te geven als de FBI dat wilde. Kort gezegd was het argument daarvoor dat het geen argument is dat bewijsmiddelen in het buitenland liggen, je gaat ze maar halen. Maar die regel voelt niet echt gepast voor een clouddienst, zeker niet als je bedenkt dat Microsoft die dienst in Europa via een apart, Europees bedrijf levert.
Gelukkig werd in hoger beroep bepaald dat deze redenering van de FBI niet opging. De wet waar men zich op beroep (de Stored Communications Act) was niet bedoeld om de FBI ineens buitenlandse rechtsmacht te geven. En nu ligt de vraag dus bij het Supreme Court, dat erom bekend staat niet alleen juridische maar ook politieke visies mee te laten wegen in hun uitspraken. Het kán dus zomaar gebeuren dat men bepaalt dat het er wél staat, en dat een Europese dochter dus maar moet meewerken aan zo’n bevel.
Dat wordt dan nog knap ingewikkeld, want dat mág helemaal niet. In de AVG is hier namelijk een specifiek artikel over opgenomen, artikel 48:
Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.
Oftewel: wat een buitenlandse wet of rechtbank ook bepaalt, Europese bedrijven mogen alleen meewerken aan zo’n bepaling als dat in een verdrag tussen de EU en dat land is geregeld. De FBI zou dus een rechtshulpverzoek aan Nederland kunnen doen, waarna onze politie de data licht bij het datacentrum hier. Een opdracht van Microsoft Inc aan haar Nederlandse dochter “geef die data want wij moeten dit van de rechtbank afgeven” is dus keihard in strijd met Europees recht.
Arnoud
En dan? De Amerikaanse rechter legt het bedrijf dan een dwangsom op die hoger is dan een eventuele boete in Europa. En voila, de data word gewoon afgegeven. Of hij laat een aantal (top)mensen van het bedrijf gijzelen totdat de data is overgedragen.
Het gaat straks gewoon een wedstrijd armdrukken worden; de winnaar krijgt de data en de verliezer mag een boete opleggen.
De EU wetgever moet dus een boete opleggen die gewoon per definitie twee maal zo hoog is als de Amerikaanse. Desnoods wordt die hele Europese tak dan maar genationaliseerd.
De boetes kunnen zo hoog worden dat ze zich dan mogelijk terug gaan trekken uit Europa. Ten minste op papier valt die dochter niet meer onder de Amerikaanse moeder. Ik kan al zo een aantal mogelijke constructies bedenken en het duurt even voor ze daar weer doorheen prikken en fiscaal hoeft het niet ongunstig te zijn voor het betreffende bedrijf…
Overigens zou het goed zijn als een Europese speler net zo groot zou worden op het gebied van cloud en eigen software.
Misschien dat er blijkt dat er “voor de zekerheid” backups gemaakt zijn van de data, die wel op Amerikaanse servers gestald zijn. De FBI neemt onder luidt protest genoegen met toegang tot slechts deze backups, die “helemaal niet actueel” zijn, en “alleen verouderde gegevens” bevatten, maar toevallig wel net dat wat ze nodig hadden .
Alsjeblieft, een boete van 4% van de wereldwijde jaaromzet van je concern voor het buiten de veilige haven Europa stallen van persoonsgegevens, plus nog eens 4% vanwege het datalek waardoor buitenlandse figuren onrechtmatig toegang kregen tot die data. Plus de verplichting een privacy officer te benoemen en verplichte halfjaarlijkse security audits (op eigen kosten door onafhankelijke partij) waarvan de resultaten moeten worden gedeeld met de toezichthouder.
(Jaja, in theorie gaat het zo mooi..)
Maar hoe hoog de boete in de US ook is, hoe kan het bedrijf dan de Europese dochter dwingen tot afgifte over te gaan? Die zijn toch fysiek niet op te pakken? Of krijgen we dan een Hague Invasion Act 2?
De Amerikaanse moeder heeft toch zeggenschap over de dochter? Dus door het gijzelen van de bestuurders van de moeder kan je de dochter dwingen iets te doen?
Hoe leidt dat tot dwang? De dochter staat toch volkomen in haar recht als ze opdrachten van het moederbedrijf negeert die ingaan tegen de lokale wetgeving? Sterker nog: het dochterbedrijf, en elke individuele medewerker daarvan, heeft de plicht om zulke opdrachten te negeren.
Ze heeft op papier juridisch zeggenschap, maar een besluit dat ingaat tegen lokale wetgeving kan niet worden uitgevoerd. De Europese bestuurders die de instructie krijgen “alle persoonsgegevens naar de VS en wel nu” mogen en moeten die negeren. Natuurlijk kan de Amerikaanse dochter dan naar de rechter om te eisen dat het bestuur doet wat ze opgedragen wordt, of het bestuur afzetten en een stel sokpoppen benoemen die wél mee willen werken, maar alleen een Europese rechter kan dat effectueren. En die zal dat niet doen als het keihard tegen de wet in gaat. En een Amerikaanse rechter kan niet zeggen dat Facebook Duitsland GmbH een ander bestuur krijgt.
Ik denk niet dat een dwangsom betaald hoeft te worden als het een handeling betreft die een (rechts)persoon niet kan uitvoeren. Zelfs als zo’n dwangsom wordt opgelegd dan zal deze in hoger beroep geen standhouden als blijkt dat de (rechts)persoon gedaan heeft wat binnen diens wettelijk mogelijkheden ligt. Je kunt met dwangsommen effectief geen situaties oplossen die buiten het bereik van de jurisdictie liggen van een rechtbank.
Sluit je HREF nog even af, zodat het linkje er klikbaar staat :).
Ik word gek van die hrefs. Maar nog gekker van WYSIWIG HTML editors.
Gebruik Markdown! 🙂
Gebruik dan BB code op je blog. Die kan niet interfereren met de HTML code van je blog.
Maakt het dan nog uit of het hoofdkantoor in de VS staat en de dochter in Europa, of dat het hoofdkantoor in Europa staat en de dochter in de VS? Anders zie ik een lading hoofdkantoren (op papier) verhuizen naar Europa.
En ik maar denken dat men wetteksten meer in Henk en Ingrid stijl zouden gaan schrijven….ik moet het nog steeds 4 keer lezen voor ik denk het te snappen.. Dank maar weer Arnoud voor je oftewel alinea 🙂
edit:hmmm smileys werken niet meer? krijg nu een vierkantje te zien…afijn er staat dus een smiley achter mijn dank regel 😉
Er zijn dus een paar mogelijkheden:
1. Legt de VS deze dwang op?
Ja -> ga naar 2.
Nee -> Je data is in theorie bij Europese dochterondernemingen van Amerikaanse bedrijven net zo goed beschermd als bij Europese dienstverleners. Ik zou wel voor eigen bescherming zorgen (encryptie e.d.), want je weet nooit zeker of er in het geheim illegaal data wordt uitgewisseld, en daarnaast bevat ook de Europese regelgeving gaten (bijv. rechtsbijstandsverdragen).
2. Handhaaft de EU de privacy-wetgeving op effectieve manier, met voldoende hoge boetes, en eventueel inbeslagname van eigendommen of zelfs arrestaties?
Ja -> ga naar 3.
Nee -> Je data is in theorie bij Europese dienstverleners veiliger dan bij (Europese dochterondernemingen van) Amerikaanse bedrijven, zolang ze niet worden overgenomen door Amerikaanse bedrijven. Ik zou wel voor eigen bescherming zorgen (encryptie e.d.), want je weet nooit zeker of er in het geheim illegaal data wordt uitgewisseld, en daarnaast bevat ook de Europese regelgeving gaten (bijv. rechtsbijstandsverdragen).
3. Blijft de VS deze dwang opleggen?
Ja -> Er zijn geen Europese cloud-dienstverleners meer die dochterondernemingen van Amerikaanse bedrijven zijn; bestaande constructies worden verzelfstandigd of stopgezet, of het moederbedrijf wordt (administratief) verplaatst naar de EU. Je data is in theorie bij Europese dienstverleners veiliger dan bij Amerikaanse bedrijven; Europese cloud-dienstverleners worden niet overgenomen door Amerikaanse bedrijven, tenzij men bij overname accepteert dat de cloud-dienstverlening wordt stopgezet. Ik zou wel voor eigen bescherming zorgen (encryptie e.d.), want je weet nooit zeker of er in het geheim illegaal data wordt uitgewisseld, en daarnaast bevat ook de Europese regelgeving gaten (bijv. rechtsbijstandsverdragen).
Nee -> Zie 1.
Er is natuurlijk wel het probleem van Google die probeert data aan elke juridictie te onttrekken door te stellen dat zij de data van hun klanten niet in een specifiek land opslaan maar verdelen in datacentra over de wereld. Een Amerikaanse rechter heeft in die zaak wel gekozen om jurisdictie te nemen over die data en Google bevolen die gegevens over te dragen. Ik denk dat die praktijk wel gehandhaafd zal blijven.
En dan is er ook nog een situatie denkbaar dat internationale cloudbedrijven data gaan stallen in landen waar nooit data van klanten uit wordt overgedragen ook als is er duidelijk sprake van crimineel handelen. Ik kan me dus voorstellen dat in die gevallen ook Amerikaanse rechters maar ook Europese rechters wel degelijk aan zo’n internationaal bedrijf zullen blijven bevelen om de data van klanten over te dragen omdat er geen alternatief is via een rechtshulp verdrag en als het niet leveren blijft duren er wettelijk maatregelen komen om dergelijk constructies met opslag in landen te verbieden voor internationaal opererende bedrijven.
Dat tweede klinkt zo slecht nog niet. Als zo’n situatie maar hardnekkig genoeg is, zullen overheden op den duur wel gaan accepteren dat ze niet zomaar andermans gegevens kunnen opeisen. Wellicht gaat daar dan nog een generatie of wat overheen: tenslotte heeft het in Europa ook eeuwen geduurd tot we begrepen dat je niet met geweld en dwang iemands religieuze overtuigingen kunt veranderen, en dat godsdienstvrijheid een goed alternatief is voor godsdienstoorlogen. Na een tijd zullen overheden ook wel inzien dat je niet met geweld en dwang iemands geheimen kunt onthullen, en dat het maar beter is als iedereen gewoon een fundamenteel recht op het hebben van geheimen heeft. Ik ben alleen bang dat ik mijn tijd te ver vooruit ben, en dat we eerst nog een generatie of wat ellende zullen hebben.
En ja, wat mij betreft gaat het daarbij ook om geheimen die betrekking hebben op criminele activiteiten. Criminaliteit is een erg rekbaar begrip, en de overheid kan redelijk naar willekeur wetten maken die dingen illegaal maken. Ik zie in de overheid een grotere bedreiging dan in criminelen. Daarnaast zijn de geheimen zelf geen misdaad; als de misdaden zelf maar illegaal zijn, dan zijn ze in principe juridisch aan te pakken. Je hebt dan misschien een element minder in de verzameling van bewijs, maar dat betekent niet dat het onmogelijk is.
Als je iets echt geheim wilt houden noteer het dan nergens en zeg het tegen iemand. Zolang het enkel in je hoofd zit is het voorlopig veilig. Als ik iets geheim wil houden en het toch wil vastleggen zou ik overigens eerder voor papier gaan dan voor een digitale variant. In digitale beveiliging heb ik om uiteenlopende redenen nog steeds minder vertrouwen als ik iets echt geheim wil houden.
Alle vormen van opsporing en bewijsvoering hebben invloed op de privacy van burgers. Het is onmogelijk criminelen te vervolgen zonder de privacy van mensen aan te tasten omdat opsporing draait om het opsporen en bewijzen van criminelen gedragingen door personen.
Ik vind het daarom een vreemd idee om te stellen dat er een soort absolute geheimhouding voor personen zou moeten kunnen zijn voor opsporingsdiensten. Volgens mij is het namelijk wel onmogelijk om criminelen op te sporen en vervolgens als criminelen een absoluut recht op privacy en geheimen hebben (en dat ook gebruiken). En omdat ik vind dat criminelen geen absoluut recht op privacy hebben dan lijkt me er ook geen reden voor een speciaal privacy recht dat dan alleen zou gelden voor gegevens op het internet.
Zaken die nu een speciaal geheimhoudingsrecht/status hebben en ‘veilig’ zijn voor opsporingsdiensten zijn bijvoorbeeld medische gegevens, biechtgegevens bij een priester, brongegevens bij een journalist. Ik zie geen reden om dat uit te breiden met willekeurige gegevens van personen opgeslagen op het internet.
Wat was ook weer AVG? IHOA!
Algemene verordening gegevensbescherming. Richtlijn 2016/679 EU. Nee, dat moet zijn (EU) 2016/679. Ze hebben dus WEER een andere schrijfwijze voor die titelloze richtlijnen uitgevonden! http://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32016R0679
Blofsoftware verziekt m’n links: http://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32016R0679
O nee, toch goed.