Een Canadese rechtbank heeft de Franse cloudprovider OVHcloud bevolen om klantgegevens die in Europa zijn opgeslagen over te dragen, las ik bij The Register. Dit ondermijnt mogelijk de claims van de provider met betrekking tot de bescherming van digitale soevereiniteit.
Zoals The Register uitlegt, heeft de Canadese politie (RCMP) in april 2024 een bevel gegeven aan de Franse cloudprovider OVHcloud om abonnee- en accountgegevens te verstrekken gekoppeld aan vier IP-adressen op OVH-servers in Frankrijk, het Verenigd Koninkrijk en Australië. Dit als deel van een Canadees strafrechtelijk onderzoek.
Het bevel werd in eerste instantie gegeven aan de Canadese dochter, maar die kan technisch noch organisatorisch bij die gegevens. Heise vertelt verder:
Nevertheless, on September 25, the Ontario Court of Justice, presided over by Judge Heather Perkins-McVey, ruled that the French parent company must hand over the data to the Canadian authorities. Her reasoning is based on a broad interpretation of “virtual presence”: since OVH operates globally and offers services in Canada, the company is subject to Canadian jurisdiction, regardless of where the physical servers are located.Dit is problematisch voor het Franse bedrijf, omdat artikel 48 AVG én Frans recht (de Blocking Statute) het afgeven van zulke gegevens verbiedt tenzij er een in Europa geldig bevel is gegeven. De Franse wet zet er zelfs celstraf en een boete tot 90.000 euro per overtreding op. Maar de Canadese rechter zal dit als contempt of court zien, met vergelijkbare strafmogelijkheden.
De zaak doet sterk denken aan waar mensen bij de US Cloud Act bang voor zijn. Ik blijf moeite houden met de vanzelfsprekendheid waarmee mensen aannemen dat bedrijven dan de Amerikaanse (of Canadese) regels gaan volgen omdat hun wet dat zegt.
Praktisch zie ik het ergens nog wel: wie banger is voor economische sancties van de Yanks dan voor boetes van de EU kan eieren voor z’n geld kiezen. Maar in het openbaar dat hardop zeggen kan ik me niet voorstellen bij een beursgenoteerd bedrijf.
De Canadese zaak kan dus een mooie testcase worden, als in het (nu lopende) hoger beroep wordt bepaald dat de Canadese rechter dat bevel inderdaad mag geven. En zuiver naar Canadees recht kijkend zie ik niet waarom niet. Dat recht hoeft immers geen rekening te houden met wat een ander land in hun wet heeft staan.
Arnoud
Dit is geen nieuwe problematiek met de AVG.
Ik heb hier al eens aangegeven hoe ik jaren geleden al werd geconfronteerd met een Amerikaans discovery verzoek dat volgens onze general counsel zou leiden tot een overtreding van de Nederlandse privacy wetgeving (en onze eigen contracten met Nederlandse klanten) als ik er aan zou voldoen. Dit was voor de AVG bestond.
Later kwam daar nog eens een in de VS aangenomen motion to compell overheen omdat ik uiteraard niet de Nederlandse wet overtrad en geen gehoor had gegeven aan het discovery verzoek.
Het gevolg was dat ik van mijn werkgever het dringende advies kreeg om niet naar of via de VS te reizen totdat de zaak afgedaan was en zij mij het groene licht gaven. Als ik er op stond om toch te gaan was dit op eigen risico en moest ik dit van te voren aangeven zodat mij alle toegang tot bedrijfsinformatie eerst kon worden ontnomen.
En wij hadden toen gewoon een Amerikaanse eigenaar (dus niet een dochter die niets te zeggen heeft) die hierdoor een boze dreigende rechter tegenover zich had. En Nederland heeft vziw geen blocking statute zoals Frankrijk. Ik vermoed dat die franse rechter bot gaat vangen.
Canadese rechter*
Waarom doet de Canadese politie niet gewoon een verzoek doet bij Frankrijk om deze gegevens te krijgen, zoals internationale politie normaal gesproken informatie uitwisselt (de “Mutual Legal Assistance Treaty” genoemd in het Register artikel)?
Als het om onderzoek gaat over iets dat verboden is in beide landen en er een goede reden is dat die informatie nodig is voor het onderzoek, moet de Canadese politie die toch kunnen krijgen (en ik neem aan dat de Canadese rechter dat controleert, net als een Franse zou doen). Om een Frans bedrijf dan via een Canadese dochter in Canada om informatie te vragen voelt gewoon als moedwillig onvriendelijk zijn en dan zou ik als Frankrijk ook denken “stik er maar in”.
Als je het Heise artikel leest zie je dat de Canadese politie niet de moeite wil doen om de procedure van de MLAT in te gaan. Nu denk ik niet dat het specifiek om deze zaak gaat, maar de Canadese overheid wil klaarblijkelijk een precedent zetten om in andere zaken makkelijker bij gegevens te kunnen. De procedures, checks and balances van een MLAT worden kennelijk als “lastig” gezien.
De Mlat staat ter discussie wegens de onevenredigheid in de cyber wereld. Bulletproof hosting staat niet voor niets in een dubieus ethische hoek. Deze hele insteek van een fysieke locatie als heilig afscherming is door privacy en rechts geleerden als achterhaal neergezet. We zullen het met iets beters moeten doen.
Ik wil in antwoord hierop even een hele scherpe vraag stellen:
Ik denk aan websites van de Russische en Turkse oppositie, Oeigoeren, Palestijnen, enz. Websites die niet oproepen tot gewelddadig verzet, maar de westerse vrijheid van meningsuiting gebruiken om de onderdrukkers aan de kaak te stellen.Je neemt meteen aan websites welke niet oproepen tot geweld. Noem palestijnen en we zien jihad met oproepen tot genocide met wijzen naar joden. Tevens flink veel desinformatie en verdraaiing van de geschiedenis. De westerse vrijheid van meningsuiting wordt ondergraven met misbruik van die meningsuiting door feitenvrij van alles te roepen. Erdogan is op dit moment aan de macht maar was de oppositie voor volgers van Kemal. Hij (Erdogan) zou niet gewelddadig zijn maar met wat we nu zien wel degelijk.
De vraag in die is dan wie de onderdrukkers zijn. IS Afghanistan en je mag Putin er bij nemen, dan kun je kiezen om dat te ondersteunen door geen controle te hebben of met gefundeerde informatie gecontroleerd vrij te laten. Even heel scherp: Ben je voor inmenging van bijvoorbeeld Putin in de westerse politiek, het geloof van Kahmeiny met zijn etnische zuiveringen of vindt je dat dat alles onder VVMU moet vallen ondanks alles wat daar echt fout in zit. De voorbeelden geven meteen aan wat een grens is er moet een bepaald vertrouwen in het regime en hun achtergrond zijn.
De uitdaging: zodra je een grens gaat stellen zul je ook iets met handhaving moeten doen. Wil je geen grens stellen aan wat ethisch is dan krijg je al het onethische vanzelf mee.
Vandaar mijn stelling dat we het met iets beters moeten doen. In het informatietijdperk zou gecontroleerde juiste informatie vrij en goed toegankelijk moeten zijn. Daar ontbreekt het nogal flink aan.
Je kaart nu een heel ander probleem aan.
Moeten wij in het westen strenger optreden tegen het verspreiden van haat en leugens onder het mom van vrijheid van meningsuiting binnen onze jurisdictie.
Het punt wat Mathfox aansnijdt is heel anders: Moeten wij hier in het westen optreden tegen websites die door buitenlandse partijen als strafbaar/leugens worden aangemerkt, maar die volgens onze eigen wetten en normen en waarden volkomen acceptabel zijn.
Canada lijkt een redelijk westers land, maar dezelfde argumenten voor en tegen accepteren van de jurisdictie van een Canadese rechter kan je ook maken over de Russische rechter.
In het MLAT is onder andere geborgd dat verzoeken alleen ingewilligd worden als onze eigen rechters het verzoek als gegrond beoordelen. Waarom zouden we dat voor enig welk land willen opzij zetten?
Of denk aan Engeland met hun extreme smaad en laster wetgeving die de vrijheid van meningsuiting extreem beperkt als het om publieke personen gaat. Moeten wij meewerken aan de veroordeling van Nederlanders door Engeland, omdat ze online iets gezegd hebben wat hier gewoon mag en daar onder die draconische wetgeving valt? Wat dat betreft ben ik heel blij met Brexit.
Nee het is geen ander probleem. Mlat is een bureaucratisch proces waarbij de fysieke acties naar het andere land worden overgezet waarbij die geacht wordt fysieke acties te ondernemen. In het tijdperk van fysiek reizen (industrieel gebeuren) is de tijd en inspanning redelijk in overeenstemming met verwachtingen en haalbaarheid.
In het informatie tijdperk (cyber) komt er een heel ander iets met de snelheid van alle veranderingen. Je kunt dit soort eisen als een uitbreiding van MLat zien. Zodra het gaat om een canadese zaak met een canadees welke daar vervolgt wordt lijkt me de uitwisseling geen probleem. Wonderlijk genoeg is dat gegeven in deze zaak wat ontbreekt King vs OVH https://www.linkedin.com/posts/theodore-christakis-9ab5a6260_canadian-court-ovhcloud-from-france-must-activity-7399825740441231361-Jikb/
Ik weet niet zeker of ik goed begrijp wat je standpunt precies is.
Vat ik dat goed samen als ik zeg dat je vind dat de MLAT procedure (een internationaal rechtshulpverzoek?) te langzaam is en niet meer past bij de (cyber)-uitdagingen van deze tijd, en daarom opzij geschoven kan worden als het het cyber-domein betreft? En dat de uitspraak van (een in dit geval Canadese) buitenlandse rechter hier (in Frankrijk of de EU) gehonoreerd zou moeten worden zonder daarbij die normale MLAT procedures te gebruiken?
Zie antwoord op Elroy.
Ik ben het niet met je eens dat je dit als een uitbreiding kan zien.
MLAT waarborgt dat een Nederlandse rechter een oordeel velt of het verzoek voldoet aan de nederlandse wet. Dit omzeilt dat.
Het maakt niet uit of iets fysiek of online is. Als je het in Nederland doet en host moet eerst hier getoetst worden aan onze wet of we mee gaan werken aan veroordelingen in het buitenland. Als een Canadees in Nederland iets legaals doet, moet Nederland niet meewerken aan een veroordeling in Canada. Dat gaat die rechter in Canada echt niet toetsen, daarom is juist de officiele weg bewandelen zo belangrijk.
Als het echt geen probleem is om die data aan te leveren zal de Nederlandse rechter dat bevestigen en is de AVG geen enkele belemmering meer.
Mutual Legal Assistance Treaty (MLAT) betreft: Een overeenkomst tussen twee of meer landen om informatie uit te wisselen en te verzamelen voor het handhaven van openbare of strafwetten.
In die overeenkomst is vanuit het principe van die overeenkomst nergens vastgelegd hoe de invulling van de uitvoering moet zijn. Er is geen verplichting tot een uit handen geven van de fysieke inzet waarbij de ander daarop moet acteren.
Ook in de fysieke wereld schuift de invulling. Het is aanpassen om te overleven ofwel de theorie van Darwin in de praktijk. https://www.benelux.int/nl/post/benelux-politieverdrag-als-best-practice-voor-de-eu/ of https://commission.europa.eu/law/cross-border-cases/judicial-cooperation/types-judicial-cooperation/mutual-legal-assistance-and-extradition_en
De EU introduceert zelf meer van dat soort wetten. Je bekeuring over de Nl grens wordt vrijelijk afgehandeld zonder inzet van NL ambtenaren. Het is niet de rechter die bepaalt wie er ingezet mag worden bij handhaving dat zijn de nationale-internationale verdragen als basis van de wetgeving. Houdt een rechter zich daar niet aan dan zal die hopelijk terechtgewezen worden.
Inderdaad, en rechtshulpverzoeken kunnen lastig zijn. Wellicht is het de moeite waard om te kijken hoe dit soort verzoeken gestroomlijnd/vergemakkelijkt kunnen worden, maar tot er een soepelere procedure bestaat is dit gewoon een kwestie van de juiste kanalen gebruiken (en dankbaar zijn voor de versnelde uitvoering die de Franse overheid heeft beloofd).
Een rechtshulpverzoek kan snel en soepel (naar de normen van het ontvangende land) afgehandeld worden als het voorzien is van de juiste informatie, zodat een onderzoeksrechter direct een beslissing kan nemen. Als de aanvraag niet voorzien is van de benodigde informatie voor de rechter dan moet die het verzoek afwijzen en “ter aanvulling” terugsturen. Als zo’n verzoek een paar keer heen en weer moet, dan kan het proces wel even duren.
Dat de politie een snellere route wil kan ik wel begrijpen maar waarom grijpt de rechter niet in en verwijst de politie naar het internationale verdrag in plaats van te proberen bevelen te geven aan mensen in een andere land. Wat is het belang van de rechter om internationale verdragen te omzeilen???
Er mist wezenlijke informatie in de ophef. Het is een oud verhaal waar de wezenlijke vraag waar het om gaat ontbreekt.
“Many myths exist in the media on this topic. Things that don’t provide foreign immunity and determine legal jurisdiction : ? location of data ? location of company HQ ? company ownership ? company leadership ? It’s up to a court to decide jurisdiction. ” Bron: https://www.linkedin.com/posts/theodore-christakis-9ab5a6260_canadian-court-ovhcloud-from-france-must-activity-7399825740441231361-Jikb/
Ofwel de fysieke locatie van een datacenter doet er niet toe in de veranderende wereld met cyber. “So while we’re debating “immunity from foreign laws,” we’re simultaneously building a system for… exactly that kind of access, just with an EU flag on it.”
Een rechtbank kan alle jurisdictie aan zichzelf geven die ze willen. Maar als ze geen mogelijkheid hebben om het af te dwingen hebben ze pech.
Ja ‘wij’ doen hetzelfde maar partijen in andere landen staan net zo goed in hun recht als ze zeggen ik ben in niet-EU land X en de wet van land X verbiedt mij het vonnis uit EU land Y uit te voeren dus doe ik dat niet.
Een rechter heeft zich aan de wet te houden en kan niet via jurisprudentie zelf de rol van wetgever gaan invullen. Als dat wel gedaan wordt of er zijn signalen in die richting dan is dat een ondermijning van de grondwettelijke principes van de democratische beginselen.
De MLAT afspraken als wetgeving zijn al veel verder ingevuld dan het achterhaalde principe dat een ambtenaar bij de andere staat de activiteiten moet gaan doen. Dat was tot de jaren 60 de enige optie bij een MLAT. In het informatietijdperk cyber veranderd veel van wat ooit enkel fysiek industrieel was naar wat anders, die verandering wordt wel eens aangeduid als evolutie.
Volgens de logica van die Canadese rechter zou die rechter zelf, omdat ie invloed uitoefend binnen Frankrijk, onder Franse jurisdictie vallen. En wat die rechter doet is strafbaar in Frankrijk, dus Frankrijk kan een arrestatiebevel uitgeven voor die rechter.
Lijkt me dan een interessante om te zien wat er dan gebeurt. Je zou zelfs in de een EU wet kunnen voorstellen die expliciet buitenlandse rechters strafbaar stelt als ze uitspraken doen die proberen EU-personen aan te zetten tot handelingen die hier verboden zijn.
Dit soort gevallen doen mij steeds weer denken aan de zaak van Wikileaks tegen Visa in IJsland, met als uiteindelijk resultaat dat de vestiging van Visa bevolen werd de rekening van Wikileaks te heropenen, en Visa daar alleen aan kon voldoen door de IJslandse tak te verzelfstandigen. Iets dergelijks kan hier ook het eindresultaat zijn. Dan gaat de Canadese tak van OVHcloud los verder, en kan zij tegen de rechter zeggen: sorry, maar wij staan geheel los van die tak in Frankrijk waar jij een probleem mee hebt. Je kunt ons beboeten tot we failliet zijn, al ons personeel levenslang in de gevangenis gooien, en dan nog zul je die gegevens niet van ons krijgen, want het valt buiten onze macht.