Hoe problematisch is de CLOUD Act nu echt?

Een hoop ophef en vraagtekens vorige week over het einde van Privacy Shield. Een belangrijke zorg was weggelegd voor de Cloud Act, want daarmee zouden Amerikaanse overheden ook toegang tot Europese data alhier kunnen vorderen. Daarmee zou de standaard oplossing – blijf in een Europees datacenter bij een Europees bedrijf – ook gevaar lopen. Hoe ver reikt die wet nu eigenlijk?

De Cloud Act is er gekomen naar aanleiding van een rechtszaak tussen Microsoft en de FBI over afgifte van data bij een Europese dochter van het Office-cloudbedrijf. Kort en goed zegt die wet, niet zeuren maar doen. Afgeven die hap, ook als die in het buitenland staat. Letterlijk (paragraaf 2713):

Electronic communication service providers and remote computing service providers must comply with the obligations of [this Act] to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.

Zo’n bevel kan aan Microsoft in Redmond, Washington worden gegeven. Die zou dan haar Europese dochter kunnen opdragen die gegevens door te geven, aldus deze wet.

Maar dat kan eigenlijk niet, want binnen de regels voor concerns kán een moeder niet direct bevelen wat een dochterbedrijf moet doen. Aandelen geven wel zeggenschap, maar geen bestuursbevoegdheid. Je moet dus het bestuur overtuigen, en dat kan eigenlijk alleen door te zeggen dat je het bestuur eruit gooit als ze niet doen wat je zegt. Dat zou nogal opvallen, en als in de statuten van die dochter ook nog vervelende dingen staan dan wordt dit helemaal een heilloze route.

Bovendien is er artikel 48 AVG:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Een bevel onder de CLOUD Act voldoet niet aan de eisen van dit artikel. De Europese dochter moet dit dus naast zich neerleggen, op straffe van hoge boetes (in theorie 20 miljoen Euro, art. 48 jo. 83 lid 5 AVG).

En meer algemeen vraag ik me dus al tijden af, hoe gaat dit überhaupt werken, dat vanuit Amerika opvorderen van persoonsgegevens? Moet de Ierse dochter van Microsoft dan een achterdeur inbouwen, komt er een bevel tegen de Ierse directie en zo ja hoe gaan ze dat dan afdwingen? Er zijn immers geen verdragen over wederzijds erkennen van zulke inzagebevelen. Dat is waar we al heel lang rechtshulpverzoeken voor hebben immers.

Ik zie hoe er een risico is als je data in de VS hebt staan, want dan kan men erbij en dat mag dan dus. Maar als je data hier staat en de beherend entiteit is Europees (ook al is de moedermaatschappij Amerikaans) dan zie ik gewoon niet hoe in de praktijk die data naar de VS zou gaan als de FBI dat zou willen.

Arnoud

26 reacties

  1. Ik vrees, dat de data wel degelijk nar de VS gaat als FBI en andere autoriteiten dit vorderen. Het europese bedrijf neemt liever een europese boete, dan het risiko te lopen in Amerika niet meer aan de bak te komen. Nog sterker geldt dit voor bedrijven die een amerikaans moeder hebben (of vader). Her risiko daar tegen de muur te worden gezet nemen ze gewoon omdat het amerikaanse rechtssysteem intussen heel veel mogelijkheden kent voor law enforcement oder intelligence services om zonder rechter heel erg vervelend te gaan doen.

    1. In dat geval is de boete te laag. Het zou beter zijn als er iets in gestaan had als “drie maal de boete die de onterecht eisende autoriteit van een derde land maximaal kan opleggen.” Dan is dat probleem voor altijd verholpen (en als dat derde land dan besluit een gelijke clausule in te voeren, dan is daarmee de hele dochter in een klap failliet.)

  2. Hoe moeilijk is het voor het Amerikaanse bedrijf om die informatie op heimelijke wijze te krijgen van het Europese dochterbedrijf? Als ik inlog op GSuite, Office 365 of AWS gaat dat via de normale hostnames, dus de systemen zijn niet volledig gescheiden. Hoe makkelijk kan het Amerikaanse bedrijf een “sudo Jørn” doen en op die manier bij de informatie komen. De Ierse dochter van Microsoft hoeft helemaal geen backdoors in te bouwen, de software wordt immers aangeleverd en bijgehouden vanuit Amerika. Die backdoor is er al als ze dat willen.

    En zelfs al zou de Europese tak mensen in dienst hebben die de broncode inspecteren en zelf compileren om dat soort ongein tegen te gaan, de ingangspoort voor al deze cloud diensten is een webserver met dezelfde hostname in Europa en Amerika, dus het is triviaal voor het Amerikaanse moederbedrijf om een MITM te regelen voor het Europese dochterbedrijf, en zo wachtwoorden en tokens te stelen.

    Hiermee kun je aan je CLOUD act eisen voldoen en als je niks tegen Europa zegt krijg je geen GDPR boete en je krijgt ook geen mediacircus tegen je, zo lang niemand het ontdekt.

    1. Je kunt je cloud zo opzetten dat je verschillende “partities” hebt met verschillende dochterbedrijven als beheerders. Je moet je gebruikers- en toegangsbeheer per partitie doen, om tegen de CLOUD act bestand te zijn. (En het is gewenst om de lokale beheerders ook lokaal te hebben wonen en werken.)

      Ik weet niet of zo’n gepartitioneerde cloud even naadloos kan werken als een gecentraliseerde cloud, maar ik denk dat je ook globaal (over partities heen) in een gepartitioneerde cloud kunt samenwerken. Het is volgens mij mogelijk om binnen een datacenter meer partities te hosten en een partitie over meer datacenters te verspreiden; partities gaan over wie het beheer over toegang en data doet.

    2. Of dit nu wel of niet kan en/of praktisch is is minder relevant, want wat je beschrijft zijn heimelijke (illegale, verborgen, whatever) middelen om dat doel te bereiken. Daar gaat die wet natuurlijk niet over, die gaat over de wettelijke middelen. Die wet probeert iets wettig te maken wat het -op dit moment- (nog) niet is. Dat een afdoende capabele en bereidwillige staat op heimelijke wijze bij dingen kan waar ze eigenlijk geen toegang toe heeft bestaat al heel lang, dat heet gewoon spionage.

  3. Juridisch gezien lijkt me je verhaal ijzersterk Arnoud, maar volgens mij vragen wij ons allemaal hier hetzelfde af. De druk die het bestuur van een dochter(!) onderneming zal ervaren is in de eerste plaats helemaal niet juridisch van aard omdat die bestuurders ook niet in een vacuüm worden benoemd. Dus hoe groot is nu de kans dat dit soort verzoeken er gewoon stilzwijgend doorheen gaan komen?

    Anders verwoord: kun jij met al jouw creativiteit en ervaring echt zelf geen tal van constructies bedenken waarmee je de facto stiekem toch die toegang verleent? Dat is een oprechte vraag, want wie weet ben ik gewoon de verbitterde cynicus hier.

    1. De dochterbedrijven bestaan (deels) om te voorkomen dat het moederbedrijf bij de data kan komen. Waarom zouden dan zowel de moeder als de dochter proberen in het geheim een constructie te maken waarmee de moeder toch bij de data kan. Als bekend zou worden dat er toch een backdoor is gemaakt verkiest de dochter veel klanten en kan de boel wel sluiten.

      De FBI zou een constructie moeten bedenken, vervolgens het moederbedrijf stilletje er toe dwingen die te implementeren zonder dat de dochter doorkrijgt wat er gebeurt en de boel gaat tegenwerken. Da’s heel veel werk met een kleine kans op succes. Een rechtshulpverzoek zal makkelijker zijn.

      1. Dat is dan een volledig overbodige stap geweest, omdat die in de praktijk niet werkt.

        Na het sneuvelen van Safe Harbor navraag gedaan bij Amazon en Microsoft. Als je ervoor kiest om de data in de EU te houden betekent dit dan tevens dat alleen medewerkers in de EU van EU dochters toegang hebben tot de data. Beide wilden dit niet bevestigen en e-mails werden simpelweg niet beantwoord, telefonisch werden ze erg ontwijkend. Microsoft wilde alleen zeggen dat dit gold voor de geisoleerde en beperktere Duitse cloud dienst. Deze is echter in 2018 gesloten voor nieuwe deelnemers en ik durf niet eens te zeggen of dat de bestaande klanten inmiddels gedwongen zijn te verhuizen.

        En dan heb je een probleem, ik kan namelijk uit ervaring met een discovery order zeggen dat Amerikaanse rechtbanken geen enkele moeite hebben met het opleggen van een verplichting aan een medewerker van een bedrijf buiten de werkgever om, wanneer de werkgever moeilijk doet… dat het je baan kan kosten is niet hun probleem.

        Zelfde met National Security Letters, daar zijn ook voorbeelden van waar een systeembeheerder opdracht kreeg om informatie beschikbaar te maken, zonder dat hij dat zijn werkgever of zelfs maar de legal counsel van de werkgever mocht mededelen.

        Dan heb je dus niet eens met de CLOUD Act te maken, data overdragen naar de USA of laten beheren door een partij die personen in de USA hebben met toegang to de data kan simpelweg niet, omdat geen van deze partijen aan de AVG voorwaarden kan voldoen, het maakt niet uit hoeveel contract clausules je daarover op laat nemen.

        1. Technisch is die scheiding er inderdaad volgens mij in het geheel niet, en is iedereen die data bij Microsoft, Amazon of Google laat gewoon de sjaak. Maar omdat er geen alternatief is (want er is geen Europese grote cloud) wordt hier niet op gehandhaafd en laat iedereen het maar z’n beloop gaan.

          Ik heb op regelmatige basis discussies met klanten waarbij ze hun data niet in de VS willen stallen. Als ik ze er dan op wijs dat hun gehele administratie bij dienstverlener X uiteindelijk bij Amazon AWS staat, en dat het daarbij effectief niet uitmaakt of het in de VS of Ierland staat, komt daar nooit een goed antwoord op.

          De AP zou eigenlijk moeten handhaven op het feit dat de grote Amerikaanse partijen hun systemen niet dusdanig gescheiden hebben dat er geen toegang mogelijk is vanuit de VS. Dat zie ik ze echter nog niet zo snel gaan doen. En hard maken dat data daadwerkelijk uitgewisseld wordt zal nog een hele kluif zijn, want als dat al gebeurt zal dat achter gesloten deuren gebeuren.

  4. Arnoud, zouden ze niet eenvoudigweg kunnen zeggen “Op welke wijze jij jouw dochteronderneming overtuigt maakt ons niet uit, maar doe het (of bewijs dat je echt AL het mogelijke, inclusief vervangen van het bestuur hebt gedaan) anders voldoe je niet aan onze wet en draai jij, bestuurder van de Amerikaanse moedermaatschappij, hier de bak in”? Met andere woorden, houd simpelweg geen rekening met de wijze waarop, en het juridisch kader waarin, een moederbedrijf haar dochterondernemingen bestiert?

    1. Dat kan, maar het valt op als iemand van het niveau Satya Nadella (CEO van Microsoft) gearresteerd wordt en de cel in gaat. Dat krijg je gewoon niet onder de pet. Dus ik zou als MS zeggen, hier is een statement van MS Ierland en een legal opinion van international law firm Huey, Dewey en Louie van 200 pagina’s waarin staat dat het echt niet gaat gebeuren, pak me maar op. Want dat gaat niet gebeuren, en dan weet je dat het bluf is en dat je ongestraft verder kunt.

      1. Maar als een lagere systeembeheerder hiertoe gedwongen wordt, in plaats van Satya Nadella? Dan moet Microsoft een stuk sterker in z’n schoenen staan om de werknemer niet te ontslaan en aan de grote klok te hangen wat er gebeurd is. Zoals ik al opmerkte in mijn vorige comment is de scheidslijn tussen de Europese en Amerikaanse cloud van Microsoft wat vaag, en zou het me niet verbazen als een Amerikaanse systeembeheerder met enige moeite toch een Europees account binnen kan komen.

        1. Ik mag hopen dat MS als bedrijf controlemaatregelen heeft dat één medewerker zulke dingen niet kan doen. Want of je nu door de FBI verplicht wordt dit te doen, of gechanteerd door de Mafia of onder druk gezet door een Mexicaans kartel, of omdat je boos bent over een geweigerde promotie, het zou betekenen dat jij als systeembeheerder overal bij kunt en je sporen kunt wissen zonder dat collega’s of werkgever het merken. Dat is een ernstig integriteitsrisico dus als bedrijf bouw je daar maatregelen tegen. En als je daarmee de disgruntled employee buiten houdt, dan ook de wettelijk gedwongen employee.

          Los daarvan staat in de CLOUD Act nergens een bevoegdheid om individuele werknemers op te dragen mee te werken.

          1. Arnoud, staat er in de CLOUD Act dat je het niet aan individuele medewerkers mag opdragen?

            Jaren voor die act had ik een internationale klant die in de VS was aangeklaagd. Mijn werkgever in de VS had een discovery order gekregen, waaronder ook data van ons (de Nederlandse) vestiging viel. Wij kregen vervolgens opdracht om de gevraagde data veilig te stellen voor als er een rechtshulp verzoek via de juiste kanalen kwam, maar om geen enkele omstandigheid data te verstrekken.

            Mijn naam en e-mail adres stond in een aantal e-mails die ik aan onze VS vestiging had gestuurd en die zij hadden overhandigd. Nadat mijn werkgever al had aangegeven dat wij niet konden voldoen aan de discovery eis op basis van Nederlandse wetgeving kreeg ik persoonlijk een notificatie dat de rechter een order op mijn naam had uitgevaardigd dat ik alle correspondentie die voldeed aan een hele lijst met zoektermen moest overhandigen. Uiteraard heb ik dit aan onze legal counsel doorgegeven en opdracht gekregen niets te doen, omdat ik dan de Nederlandse wet en mijn arbeidsovereenkomst overtrad. Ook werd mij aangeraden om voorlopig even niet naar de VS te gaan, maar voor het geval dat daarheen reizen niet te voorkomen was hebben ze meteen mijn toegang tot alle gevraagde informatie onmogelijk gemaakt zodat ik niet gedwongen kon worden om op afstand in te loggen en de data af te geven.

            1. Ik kan het niet vinden. De CLOUD Act is vooral een extensie voor rechtszekerheid, er staan geen aparte nieuwe bevoegdheden in. Het is vooral de bevestiging dat je ieder bedrijf wereldwijd het op kunt dragen, en dat je een US bedrijf kunt bevelen data uit een buitenlands datacenter (eigendom dus van het US bedrijf) kunt halen. Ik heb nergens gezien dat individuen ineens bevelen kunnen krijgen.

              In civiele zaken zou ik ook verwachten dat het bedrijf het bevel krijgt en niet de persoon. Ik zou zeggen, jij bent niet aangeklaagd dus geen partij dus hoezo krijg jij het bevel. Maar rechters gaan daar nog wel eens erg kort door de bocht, en zeker als de gedachte is dat alléén jij de informatie hebt, dan zie ik de logica wel. In civiele zaken. In het strafrecht moet er gewoon in de wet staan wie wat mag eisen, ook in de VS.

              1. Ik ben pas weer naar de VS geweest nadat deze zaak afgerond was, voor de zekerheid. Ik heb er ook nooit last van gehad.

                We (lees mijn juridisch adviseur via de werkgever) maakten ons niet zo druk over het negeren van die opdracht van de rechter, omdat ik niet in de VS was en ik wettelijk hier niet mocht voldoen aan die opdracht. De kans dat ik veroordeeld zou kunnen worden vanwege het negeren van een gerechtelijk bevel werd nihil geschat; hoewel het natuurlijk wel vervelend zou zijn als je in de VS vast zou zitten voor de duur die zo’n rechtzaak heeft.

                Het risico was vooral tijdens het lopen van de zaak dat als ik mij in de VS zou vertonen ik door de rechtbank gegijzeld zou kunnen worden tot ik voldeed aan het bevel. Dat risico werd significant geacht, vandaar het advies weg te blijven en mijn werkgever die het mij onmogelijk maakte te voldoen aan het bevel.

                Idee achter dat laatste was dat mijn werkgever dan een verklaring zou afleggen dat ik geen toegang had tot die informatie en dus met niets sturen ook voldeed aan het bevel (maar dan in mooie juridische taal ingepakt).

  5. Is dit niet een geval van het verschil tussen “gelijk hebben” en “gelijk krijgen”? Gaat de EU hardball spelen als de VS doordrukt dat ze bepaalde info willen hebben? Ik vrees dat als de VS info wil hebben, ze het ook gaan krijgen.

    1. Met een rechtshulpverzoek kan de VS specifieke gegevens opvragen. Er zijn voor de VS twee nadelen aan een rechtshulpverzoek: ten eerste kost het tijd, maar veel belangrijker, er wordt ook in Nederland (of elders in EUropa) nog eens kritisch gekeken naar de rechtmatigheid van het verzoek. Die kritische EUropese blik vinden een heleboel Amerikaanse diensten buitengewoon irritant omdat de onderzoeksrechters in de VS nauwelijks naar onderzoeksbevelen kijken.

      1. Wat ik mij indertijd heb laten vertellen is dat het probleem veelal nog fundamenteler is.

        In de VS kan je een civiele rechtzaak tegen iemand beginnen zonder dat je enig bewijs hebt dat je kan overleggen. Jouw bewijs is dan bijvoorbeeld de e-mails die de aangeklaagde naar een derde zou hebben gestuurd. Voor dat de zaak behandeld wordt heb je dan discovery en krijgt de aangeklaagde opdracht om ‘alle e-mails aan persoon X waarin de zoektermen Y, Z voorkomen te overhandigen. Vervolgens kan je die als bewijs in de rechtzaak gebruiken. Achterhouden van die e-mails is een extra riskante actie, omdat als ze alsnog uitkomen je nog een tweede strafbaar feit hebt begaan, waarbij in de VS de schadevergoeding daardoor zal exploderen.

        In Nederland wordt je geacht bewijs te hebben voor je iemand aanklaagt. Een zoektocht als in de VS is niet mogelijk. Wel heb ik begrepen dat als jij de e-mail niet hebt maar kan aantonen dat hij bestaat (een vereiste dat in de VS niet bestaat) de aangeklaagde ook in Nederland de e-mail zal moeten overleggen. In de praktijk heb ik naast de zaken waar ik persoonlijk bij betrokken was ook collega’s gehad die er mee te maken kregen. En ik heb nog nooit meegemaakt dat er een rechtshulpverzoek kwam en ook nog nooit gezien dat er werd meegewerkt aan een discovery verzoek. De hele actie in Nederland bestond vrijwel altijd uit een eerste e-mail: er is een rechtzaak, geen documenten meer vernietigen voor het geval er een geldig verzoek komt. en een lange tijd later een tweede e-mail dat de zaak voorbij was en dat normale bewaar regels weer van toepassing waren.

        1. Elroy, waar ik het over had betrof gegevensuitwisseling in strafzaken (belastingzaken, etc.) waarin de Amerikaanse overheid een (formele) partij was. Die gang is er voor een civiele partij niet. Discovery volgens Amerikaanse begrippen werkt niet als de tegenpartij de jurisprudentie van de Amerikaanse rechter niet erkent. Maar ook in de VS wordt je als aanklager geacht een juridische argumentatie te geven waarop jouw zaak kan slagen.

          In Nederland is het de rechter die bepaalt welk bewijs zij/hij nodig heeft om een vonnis te vellen en de rechter geeft (indien nodig) bewijsopdrachten aan de partijen. Door het bewijs te concentreren op de essentiële punten in de zaak kan een rechtszaak in Nederland een factor tien of zo goedkoper uitvallen dan een vergelijkbare zaak in de VS. Voor zover ik weet is de CLOUD act niet van toepassing in het civiel recht.

        2. Je moet in de VS aannemelijk maken dat er bewijs is, maar die lat ligt lager dan bij ons inderdaad. Maar zomaar wat roepen en dan discovery eisen is te makkelijk. Als je niets van argumenten hebt waarom de gedaagde het zou hebben gedaan dan ga je via summary judgment direct weer naar buiten, mét proceskostenveroordeling.

          Overigens mag de gedaagde bij jou ook discovery komen doen, dus al jouw mails etcetera komen dan bij hem. Niet handig als je dan vooraf had gemaild, ik heb geen bewijs maar we gaan ze zieken met discovery en dan schikken. En ja dat komt voor.

  6. Wat voor mij een leuke uitdaging zou zijn, is als Europa een soortgelijke wet realiseert en Europese bedrijven oplegt alle informatie waar dan ook ter wereld opgeslagen naar Europa te transfereren?! Ik denk dat ik Amerika’s antwoord ken: “dat is spionage, een daad van oorlog tegen een bevriende natie, tegen haar bevolking en dus moet dit leiden tot sancties en verhoogde spionage inspanningen tegen Amerika’s vijanden en wellicht (semi-)militair ingrijpen. America First.” In Europa zijn wij wellicht te geciviliseerd. Terzijde i.p.v. Amerika kan je natuurlijk ook de naam van elk andere grootmacht lezen. Wat denk jij Arnoud?

  7. Hoi Arnoud, dank voor je heldere uiteenzetting. We kunnen helaas niet achter de schermen kijken bij Microsoft en Google, maar ik ga er toch vanuit dat er geen ‘chinese walls’ tussen de verschillende ondernemingen zitten. Moeten we deze partijen dan niet meer beschouwen als een partij, waar overhead en onderhoud breed wordt ingezet? De servers staan dan wel in de EU, maar de toegang daartoe lijkt me niet beperkt tot de Ierse dochter. Het gaat hier om een cloud-dienst, ik kan me niet voorstellen dat dit, nu ook verkeer via internet de hele wereld over gaat, dat dit niet op de een of andere manier door de Amerikaanse moeder (is de verhouding ook wel moeder-dochter) kan worden ingezien. Zijn de servers niet ook een verantwoordelijkheid van de Amerikaanse vestiging? Ik kan dat niet beoordelen. Wat vind je van de oplossing BCR’s in deze? Ik hoor het graag!

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.