Worden Europese bedrijven straks verplicht data aan de VS te geven?

| AE 9756 | Informatiemaatschappij | 23 reacties

De Supreme Court gaat uitspraak doen in de Microsoft-cloudzaak waarbij het Amerikaanse bedrijf door de rechter verplicht werd data van haar Europese dochter af te geven aan de FBI. Dat las ik (dank, tipgevers) bij Ars Technica. De zaak loopt al een tijdje en kan enorme gevolgen hebben voor de bruikbaarheid van de cloud voor Europese bedrijven. Want als het precedent wordt “ja dat moet je afgeven” dan wordt je data stallen bij zelfs een Europese dochter van een Amerikaans bedrijf een tikje ingewikkeld.

In 2014 bepaalde een rechter in de VS dat Microsoft Inc. (de Amerikaanse moeder) gehouden kon worden om gegevens van een klant van haar Ierse dochtermaatschappij af te geven als de FBI dat wilde. Kort gezegd was het argument daarvoor dat het geen argument is dat bewijsmiddelen in het buitenland liggen, je gaat ze maar halen. Maar die regel voelt niet echt gepast voor een clouddienst, zeker niet als je bedenkt dat Microsoft die dienst in Europa via een apart, Europees bedrijf levert.

Gelukkig werd in hoger beroep bepaald dat deze redenering van de FBI niet opging. De wet waar men zich op beroep (de Stored Communications Act) was niet bedoeld om de FBI ineens buitenlandse rechtsmacht te geven. En nu ligt de vraag dus bij het Supreme Court, dat erom bekend staat niet alleen juridische maar ook politieke visies mee te laten wegen in hun uitspraken. Het kán dus zomaar gebeuren dat men bepaalt dat het er wél staat, en dat een Europese dochter dus maar moet meewerken aan zo’n bevel.

Dat wordt dan nog knap ingewikkeld, want dat mág helemaal niet. In de AVG is hier namelijk een specifiek artikel over opgenomen, artikel 48:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Oftewel: wat een buitenlandse wet of rechtbank ook bepaalt, Europese bedrijven mogen alleen meewerken aan zo’n bepaling als dat in een verdrag tussen de EU en dat land is geregeld. De FBI zou dus een rechtshulpverzoek aan Nederland kunnen doen, waarna onze politie de data licht bij het datacentrum hier. Een opdracht van Microsoft Inc aan haar Nederlandse dochter “geef die data want wij moeten dit van de rechtbank afgeven” is dus keihard in strijd met Europees recht.

Arnoud

Deel dit artikel

  1. En dan? De Amerikaanse rechter legt het bedrijf dan een dwangsom op die hoger is dan een eventuele boete in Europa. En voila, de data word gewoon afgegeven. Of hij laat een aantal (top)mensen van het bedrijf gijzelen totdat de data is overgedragen.

    Het gaat straks gewoon een wedstrijd armdrukken worden; de winnaar krijgt de data en de verliezer mag een boete opleggen.

  2. En ik maar denken dat men wetteksten meer in Henk en Ingrid stijl zouden gaan schrijven….ik moet het nog steeds 4 keer lezen voor ik denk het te snappen.. Dank maar weer Arnoud voor je oftewel alinea 🙂

    edit:hmmm smileys werken niet meer? krijg nu een vierkantje te zien…afijn er staat dus een smiley achter mijn dank regel 😉

  3. Er zijn dus een paar mogelijkheden:

    1. Legt de VS deze dwang op?
    Ja -> ga naar 2.
    Nee -> Je data is in theorie bij Europese dochterondernemingen van Amerikaanse bedrijven net zo goed beschermd als bij Europese dienstverleners. Ik zou wel voor eigen bescherming zorgen (encryptie e.d.), want je weet nooit zeker of er in het geheim illegaal data wordt uitgewisseld, en daarnaast bevat ook de Europese regelgeving gaten (bijv. rechtsbijstandsverdragen).

    2. Handhaaft de EU de privacy-wetgeving op effectieve manier, met voldoende hoge boetes, en eventueel inbeslagname van eigendommen of zelfs arrestaties?
    Ja -> ga naar 3.
    Nee -> Je data is in theorie bij Europese dienstverleners veiliger dan bij (Europese dochterondernemingen van) Amerikaanse bedrijven, zolang ze niet worden overgenomen door Amerikaanse bedrijven. Ik zou wel voor eigen bescherming zorgen (encryptie e.d.), want je weet nooit zeker of er in het geheim illegaal data wordt uitgewisseld, en daarnaast bevat ook de Europese regelgeving gaten (bijv. rechtsbijstandsverdragen).

    3. Blijft de VS deze dwang opleggen?
    Ja -> Er zijn geen Europese cloud-dienstverleners meer die dochterondernemingen van Amerikaanse bedrijven zijn; bestaande constructies worden verzelfstandigd of stopgezet, of het moederbedrijf wordt (administratief) verplaatst naar de EU. Je data is in theorie bij Europese dienstverleners veiliger dan bij Amerikaanse bedrijven; Europese cloud-dienstverleners worden niet overgenomen door Amerikaanse bedrijven, tenzij men bij overname accepteert dat de cloud-dienstverlening wordt stopgezet. Ik zou wel voor eigen bescherming zorgen (encryptie e.d.), want je weet nooit zeker of er in het geheim illegaal data wordt uitgewisseld, en daarnaast bevat ook de Europese regelgeving gaten (bijv. rechtsbijstandsverdragen).
    Nee -> Zie 1.

  4. Er is natuurlijk wel het probleem van Google die probeert data aan elke juridictie te onttrekken door te stellen dat zij de data van hun klanten niet in een specifiek land opslaan maar verdelen in datacentra over de wereld. Een Amerikaanse rechter heeft in die zaak wel gekozen om jurisdictie te nemen over die data en Google bevolen die gegevens over te dragen. Ik denk dat die praktijk wel gehandhaafd zal blijven.

    En dan is er ook nog een situatie denkbaar dat internationale cloudbedrijven data gaan stallen in landen waar nooit data van klanten uit wordt overgedragen ook als is er duidelijk sprake van crimineel handelen. Ik kan me dus voorstellen dat in die gevallen ook Amerikaanse rechters maar ook Europese rechters wel degelijk aan zo’n internationaal bedrijf zullen blijven bevelen om de data van klanten over te dragen omdat er geen alternatief is via een rechtshulp verdrag en als het niet leveren blijft duren er wettelijk maatregelen komen om dergelijk constructies met opslag in landen te verbieden voor internationaal opererende bedrijven.

    • Dat tweede klinkt zo slecht nog niet. Als zo’n situatie maar hardnekkig genoeg is, zullen overheden op den duur wel gaan accepteren dat ze niet zomaar andermans gegevens kunnen opeisen. Wellicht gaat daar dan nog een generatie of wat overheen: tenslotte heeft het in Europa ook eeuwen geduurd tot we begrepen dat je niet met geweld en dwang iemands religieuze overtuigingen kunt veranderen, en dat godsdienstvrijheid een goed alternatief is voor godsdienstoorlogen. Na een tijd zullen overheden ook wel inzien dat je niet met geweld en dwang iemands geheimen kunt onthullen, en dat het maar beter is als iedereen gewoon een fundamenteel recht op het hebben van geheimen heeft. Ik ben alleen bang dat ik mijn tijd te ver vooruit ben, en dat we eerst nog een generatie of wat ellende zullen hebben.

      En ja, wat mij betreft gaat het daarbij ook om geheimen die betrekking hebben op criminele activiteiten. Criminaliteit is een erg rekbaar begrip, en de overheid kan redelijk naar willekeur wetten maken die dingen illegaal maken. Ik zie in de overheid een grotere bedreiging dan in criminelen. Daarnaast zijn de geheimen zelf geen misdaad; als de misdaden zelf maar illegaal zijn, dan zijn ze in principe juridisch aan te pakken. Je hebt dan misschien een element minder in de verzameling van bewijs, maar dat betekent niet dat het onmogelijk is.

      • Als je iets echt geheim wilt houden noteer het dan nergens en zeg het tegen iemand. Zolang het enkel in je hoofd zit is het voorlopig veilig. Als ik iets geheim wil houden en het toch wil vastleggen zou ik overigens eerder voor papier gaan dan voor een digitale variant. In digitale beveiliging heb ik om uiteenlopende redenen nog steeds minder vertrouwen als ik iets echt geheim wil houden.

      • Je hebt dan misschien een element minder in de verzameling van bewijs, maar dat betekent niet dat het onmogelijk is.

        Alle vormen van opsporing en bewijsvoering hebben invloed op de privacy van burgers. Het is onmogelijk criminelen te vervolgen zonder de privacy van mensen aan te tasten omdat opsporing draait om het opsporen en bewijzen van criminelen gedragingen door personen.

        Ik vind het daarom een vreemd idee om te stellen dat er een soort absolute geheimhouding voor personen zou moeten kunnen zijn voor opsporingsdiensten. Volgens mij is het namelijk wel onmogelijk om criminelen op te sporen en vervolgens als criminelen een absoluut recht op privacy en geheimen hebben (en dat ook gebruiken). En omdat ik vind dat criminelen geen absoluut recht op privacy hebben dan lijkt me er ook geen reden voor een speciaal privacy recht dat dan alleen zou gelden voor gegevens op het internet.

        Zaken die nu een speciaal geheimhoudingsrecht/status hebben en ‘veilig’ zijn voor opsporingsdiensten zijn bijvoorbeeld medische gegevens, biechtgegevens bij een priester, brongegevens bij een journalist. Ik zie geen reden om dat uit te breiden met willekeurige gegevens van personen opgeslagen op het internet.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

Volg de reacties per RSS