De cloud is (even) gered, Microsoft hoeft geen Europese klantgegevens af te geven

simpsons-cloud-diefstal-data-fotoMicrosoft hoeft e-mails die opgeslagen zijn bij zijn datacenters in Ierland niet over te dragen aan de Amerikaanse rechter. Dat las ik bij Tweakers. In het langverwachte hoger beroep bepaalde het gerechtshof dat de Amerikaanse Justitie geen grond heeft om een Amerikaans moederbedrijf te dwingen data op te halen bij haar niet-Amerikaanse dochters. Daarmee is de cloud even gered, maar ik twijfel er geen seconde aan dat dit naar de Supreme Court gaat.

In 2014 bepaalde de Amerikaanse rechter dat Microsoft Inc. (de Amerikaanse moeder) gehouden kon worden om gegevens van een klant van haar Ierse dochtermaatschappij af te geven als de FBI dat wilde. De wettelijke basis hiervoor (de Stored Communications Act, niet de Patriot Act, mijn excuses voor de verwarring) was twee eeuwen jurisprudentie die zegt dat een Amerikaan die iets heeft dat moet komen brengen als de rechter daarom vraagt. Ook al ligt het iets in kwestie in een ander land. En als je die doctrine loslaat op e-mail dan moet Microsoft Inc de data dus maar gaan halen in Ierland. Of haar dochter bevelen dit te doen, wat ze juridisch kan aangezien dochterbedrijven moeten doen wat hun moederbedrijven zeggen.

Het Hof heeft een fundamentele reden om deze redenering af te wijzen:

When, in 1986, Congress passed the Stored Communications Act as part of the broader Electronic Communications Privacy Act, its aim was to protect user privacy in the context of new technology that required a user’s interaction with a service provider. Neither explicitly nor implicitly does the statute envision the application of its warrant provisions overseas. Three decades ago, international boundaries were not so routinely crossed as they are today, when service providers rely on worldwide networks of hardware to satisfy users’ 21st–century demands for access and speed and their related, evolving expectations of privacy.

Als een wet alleen gemaakt is om gegevens bij Amerikaanse bedrijven op te vragen, dan moet je vanuit rechtszekerheid er vanuit kunnen gaan dat die wat alleen daarvoor gebruikt zal worden. De wet heeft dus geen bevoegdheid geschapen om bij digitale gegevens zo’n wereldwijd ga-maar-halenbevel af te geven. Misschien dat het vandaag de dag handig was geweest als dat er stond, maar wetten worden niet opgerekt vanuit wat vandaag handig is. Zeker strafrecht niet.

De deur staat hiermee nog op een klein kiertje: als het Congres deze wet wijzigt zodat er wél staat dat het mag, dan moet het natuurlijk. Maar het Congres heeft wel wat anders aan z’n hoofd, en je weet als politicus nu al dat je álle ICT-bedrijven over je heen krijgt als je dat gaat proberen. Die kans acht ik niet heel groot.

Waarschijnlijker lijkt me dat de Supreme Court er nog wat over gaat zeggen. Voor Justitie is dit een nogal vervelende uitspraak, dus die zullen zeker proberen een fundamentele uitspraak van het hoogste Hof te krijgen. Dus het blijft nog even spannend. Spannender in ieder geval dan Privacy Shield – ja, leuk lapje tegen het bloeden maar dat houdt écht geen stand als, pardon wanneer de zaak weer bij het Hof van Justitie komt.

Arnoud

12 reacties

  1. dochterbedrijven moeten doen wat hun moederbedrijven zeggen

    Dat zal toch wel niet zo zijn als het verzoek in gaat tegen de wet zoals die geldt op de plek waar het dochterbedrijf is gevestigd? Is er geen Europese of Ierse privacybescherming tegen dit soort ongein?

    1. Je kan als manager natuurlijk prima wijgeren om een opdracht uit te voeren waarvoor je de wet moet overtreden.

      Je zal dan waarschijnlijk ontslagen worden omdat je de moeder in de vs in de problemen brengt.

      Dat ontslag vecht je (in nl) natuurlijk aan, waarna je wint ( dat je weiger om de wet te overtreden is natturli I k geen grond voor ontslag) en wegens verstoorde arbeidsrelatie een zak geld krijgt en nog steeds geen werk meer hebt.

      En dat is als je mazzel hebt, als je pech hebt krijg je werk toegewezen die je niet liggen en na een paar slechte beoordelingen ga je eruit met een scheintje wegens niet functioneren.

      1. Dan moet het wel een opdracht zijn waarmee je een wet overtreed. Een opdracht om Amerikaanse auditors/admins read-rechten te geven op de systemen van de dochter is legaal en niet ongebruikelijk.

        1. Daarmee geef je toch net zo goed controle over Europese gegevens weg aan buiten-Europese ‘handen’? Ik zie geen verschil tussen de bestanden zelf verzamelen en opsturen, of de controle weggeven zodat een ander het zelf doet..

      2. Je zal dan waarschijnlijk ontslagen worden omdat je de moeder in de vs in de problemen brengt.

        Ik vraag me dat wel af. Als Microsoft nu wel veroordeeld was om de gegevens te overhandigen en een europese medewerker van Microsoft in Ierland zou ze onbeschikbaar gemaakt hebben omdat het Amerikaanse bevel tegen de Ierse wet inging wat kan een Amerikaanse rechter daar nou echt aan doen.

        Het gaat zelfs een rechter in de VS waarschijnlijk wel wat ver om lettelijk in een bevel te zetten dat Microsoft medewerkers de wet in Ierland moet breken om aan het bevel te voldoen terwijl er gewoon een rechtshulpverdrag is tussen de landen waarmee justitie in de VS de gegevens ook zou kunnen opvragen.

  2. Ik sluit me eigenlijk wel aan bij het Hof van Justitie uit de VS. Anders zal het veel kromme constructies in de hand werken waarbij bedrijven hun gevoelige onderdelen in het buitenland onderbrengen zodat ze niet te vervolgen zijn.

    Kut voor ons in de EU, maar van hun kant uit best te begrijpen.

    1. Er zijn hier internationale afspraken over.

      Als je volgens die procedure om gegevens vraagt en je hebt een goede reden krijg je die. Deze situatie ontstaat omdat aanklagers in de vs zich liever niet aan internationale afspraken/verdragen houden, dat is lastig!

  3. De wettelijke basis hiervoor (de Stored Communications Act, niet de Patriot Act, mijn excuses voor de verwarring) was twee eeuwen jurisprudentie die zegt dat een Amerikaan die iets heeft dat moet komen brengen als de rechter daarom vraagt.

    Daarvoor gebruik je in de VS een Subpoena. (de NSL uit de patriot act is een bekende vorm van een subpoena). Daarmee kan je bijvoorbeeld een bedrijf dwingen om zelf gegevens uit de bedrijfsvoering van het bedrijf te overhandigen. Bijvoorbeeld login gegevens van klanten of bel gegevens van klanten of creditcardgegvevens van klanten. Dit is vergelijkbaar met een Nederland gerechtelijk bevel om bijvoorbeeld Facebook inlog gegevens te verstrekken.

    In deze zaak werd een warrant gebruikt. Dat is een andere vorm van gerechtelijk bevel die bijvoorbeeld wordt gebruikt voor huiszoekingen of arrestatiebevelen. Een warrant bevel geeft een uitvoerde partij een soort uitvoerende macht van een rechter. Daarmee kan justitie in principe de computers van een bedrijf uit een datacentrum in beslag nemen om alle gegevens daarop te doorzoeken ook naar gegevens die van een klant zijn. Maar een warrant van een Amerikaanse rechter heeft buiten de VS geen enkele uitvoerende macht. In deze zaak probeert justitie een warrant te laten werken als een soort subpoena. Justitie wil de onedrive van een Microsoft klant doorzoeken maar die bevindt zicht buiten de VS dus justitie kan er niet bij. Nu wilden ze Microsoft obv de warrant dwingen de gegevens van de klant toch te overhandigen. Daar is nu een stukje voor gestoken door het hof.

    Maar Microsoft moet nog steeds wel klantgegevens afgeven als deze opvraagd worden via een subpoena en deze gegevens uit het bedrijfsproces van Microsoft zelf komen. dus de inhoud van je mails in veilig maar naar wie je vanaf welke locatie, wanneer mails verstuurd hebt kan een Amerikaanse rechter nog steeds wel opvragen aan bedrijven die in de VS actief zijn. Net zoals Nederlandse rechters dat dus ook doen bij Amerikaanse bedrijven die in Nederland actief zijn..

      1. Dus de Ierse medewerkers hebben vervolgens de keuze luisteren naar de baas en de wet overtreden of niet luisteren naar de baas en baan op het spel zetten.

        Maar zoals ik elders al zeg, ik ben benieuwd wat een Nederlandse rechter van dat ontslag zegt als dat hier zou gebeuren.

  4. En dit is dus precies de reden waarom je als bedrijf dat bijzondere persoonsgegevens verwerkt eigenlijk niet in zee kunt gaan met een amerikaans bedrijf of een van diens dochters. Zonde, want dat sluit direct een hoop uit…

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.