Een lezer vroeg me:
Vorig jaar blogde je over de Amerikaanse cloud en de risico’s daarvan. Maar wat maakt een cloudprovider “Amerikaans”? Moet je dan kijken naar de rechtsvorm van het bedrijf, de locatie van de servers, wat men op de site zet of welk ander criterium geldt er?
Met de term “Amerikaanse cloud” bedoelde ik clouddienstverleners waar de Amerikaanse overheid (rechts-)macht over kan uitoefenen. Een in de VS gevestigde en opererende partij (Amazon Inc. met haar datacenter in Virginia bijvoorbeeld) valt hier evident over. Maar ook het Amerikaanse Google Inc met haar datacenter in Groningen, Nederland valt eronder. Het bedrijf zelf opereert in de VS en kan dus door de rechter aldaar worden gedwongen data uit dat Nederlandse datacenter over te hevelen naar de Amerikaanse politie of Justitie.
Wat nu als het een Nederlandse BV is die eigenaar is van dat datacenter? Dat lijkt niet veel uit te maken, want men kan dan nog steeds de Amerikaanse moedermaatschappij bewerken en die kan dan haar dochter sommeren de data te overhandigen. Als de moedermaatschappij immers de zeggenschap heeft, dan kan de dochter daar niets tegen doen. Als in het contract tussen moeder en dochter staat dat de moeder niets mag vragen dat tegen de lokale wetgeving van de dochter in gaat, of als de dochter zegt dat de opdracht gewoon in strijd is met die lokale wetgeving, dan wordt het spannend. Of en hoe dát standhoudt durf ik echt niet te zeggen.
De omgekeerde situatie kan ook: een Nederlandse BV die servers fysiek in Amerika ondergebracht heeft (gehuurd of gekocht of virtueel). Die BV valt niet onder Amerikaans recht, maar de partij in wiens lokaal die servers fysiek staan wél. En langs die weg kan dan alsnog een gerechtelijk bevel tot inzage van de servers worden afgegeven. De Nederlandse BV kan de data encrypten (Mega, kom d’r maar in) zodat de Amerikaanse overheid niets met die data kan, maar het zal van de bedrijfsvoering afhangen of dat haalbaar is.
Maar ook als een bedrijf geen fysieke banden met een land heeft, kan dat land soms toch rechtsmacht uitoefenen tegen het bedrijf. Wanneer een bedrijf zich expliciet richt op een land, dan is het goed verdedigbaar dat dat land daar dan wat over mag zeggen. Een webshop die in het Nederlands is, iDealbetalingen toestaat en bezorgt via Postnl valt onder Nederlands recht. Dat de domeinnaam een .com is en de server in Duitsland staat, doet er dan niet meer toe. Je zou zoiets ook prima op een clouddienstverlener kunnen toepassen.
In het strafrecht ken ik geen vergelijkbare jurisprudentie, maar het Wetboek van Strafrecht kent wel de nodige expliciete bepalingen die mensen in het buitenland strafbaar maken onder de Nederlandse wet. Natuurlijk is het wel lastiger om een buitenlander hier te veroordelen én te bestraffen, maar als er een uitleveringsverdrag is dan zijn er mogelijkheden. En binnen de EU kan dit via overlevering bereikt worden.
De ietwat platte samenvatting is dus dat je onder het recht van een land valt als ze bij jou of bij je spullen kunnen. Dat kun je aankleden met allerlei mooie rechtstheorieën maar volgens mij komt het uiteindelijk daarop neer.
Arnoud
Per 1 januari kun je bij de 
Het Europees Hof voor de Rechten van de Mens heeft een uitspraak gedaan die stelt dat het auteursrecht indruist tegen het Europees Verdrag voor de Rechten van de Mens, 
Het vernieuwde Google Afbeeldingen zou sitebeheerders verkeer kosten, het onrechtmatig gebruikmaken van auteursrechtelijk materiaal in de hand werken en zodoende omzet kosten, 
Oh jee, de cookiewet is nóg erger dan we al dachten: “Van in vrijheid gegeven, rechtsgeldige toestemming is geen sprake” wanneer een website het geven van cookietoestemming verplicht, 
Is het LinkedInprofiel van de directeur een bedrijfsmatig profiel? Nee, 
Een lezer vroeg me:
De Wereldhandelsorganisatie (WTO) heeft Antigua en Barbados toegestaan Amerikaanse auteursrechten te schenden, 
Een lezer wees me op 
Automatisch akkoord gaan met al die stomme cookievragen, het kan met de plugin CookiesOK. Omdat het web beter was vóór de cookiewet,