Hoe problematisch is de CLOUD Act nu echt?

Een hoop ophef en vraagtekens vorige week over het einde van Privacy Shield. Een belangrijke zorg was weggelegd voor de Cloud Act, want daarmee zouden Amerikaanse overheden ook toegang tot Europese data alhier kunnen vorderen. Daarmee zou de standaard oplossing – blijf in een Europees datacenter bij een Europees bedrijf – ook gevaar lopen. Hoe ver reikt die wet nu eigenlijk?

De Cloud Act is er gekomen naar aanleiding van een rechtszaak tussen Microsoft en de FBI over afgifte van data bij een Europese dochter van het Office-cloudbedrijf. Kort en goed zegt die wet, niet zeuren maar doen. Afgeven die hap, ook als die in het buitenland staat. Letterlijk (paragraaf 2713):

Electronic communication service providers and remote computing service providers must comply with the obligations of [this Act] to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.

Zo’n bevel kan aan Microsoft in Redmond, Washington worden gegeven. Die zou dan haar Europese dochter kunnen opdragen die gegevens door te geven, aldus deze wet.

Maar dat kan eigenlijk niet, want binnen de regels voor concerns kán een moeder niet direct bevelen wat een dochterbedrijf moet doen. Aandelen geven wel zeggenschap, maar geen bestuursbevoegdheid. Je moet dus het bestuur overtuigen, en dat kan eigenlijk alleen door te zeggen dat je het bestuur eruit gooit als ze niet doen wat je zegt. Dat zou nogal opvallen, en als in de statuten van die dochter ook nog vervelende dingen staan dan wordt dit helemaal een heilloze route.

Bovendien is er artikel 48 AVG:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Een bevel onder de CLOUD Act voldoet niet aan de eisen van dit artikel. De Europese dochter moet dit dus naast zich neerleggen, op straffe van hoge boetes (in theorie 20 miljoen Euro, art. 48 jo. 83 lid 5 AVG).

En meer algemeen vraag ik me dus al tijden af, hoe gaat dit überhaupt werken, dat vanuit Amerika opvorderen van persoonsgegevens? Moet de Ierse dochter van Microsoft dan een achterdeur inbouwen, komt er een bevel tegen de Ierse directie en zo ja hoe gaan ze dat dan afdwingen? Er zijn immers geen verdragen over wederzijds erkennen van zulke inzagebevelen. Dat is waar we al heel lang rechtshulpverzoeken voor hebben immers.

Ik zie hoe er een risico is als je data in de VS hebt staan, want dan kan men erbij en dat mag dan dus. Maar als je data hier staat en de beherend entiteit is Europees (ook al is de moedermaatschappij Amerikaans) dan zie ik gewoon niet hoe in de praktijk die data naar de VS zou gaan als de FBI dat zou willen.

Arnoud

Mag je van de GDPR geen cloud-based office dienst meer inzetten?

It is currently impossible for Sweden’s public sector to purchase web-based office services (word processing, email and text/video chat) that comply with the European General Data Protection Regulation (GDPR). Dat las ik bij de Open Source Observatory. Men ging af op een studie van de Zweedse National Procurement Services die focust op de impact van de US CLOUD Act, waarmee data vanuit Europa ineens opgevraagd kan worden door Amerikaanse diensten, en dat is dan in strijd met de AVG/GDPR. Dus einde van de cloud-based office in Europa? Nou, niet helemaal.

Er is veel onduidelijkheid over de US CLOUD Act, en dat is niet gek want die wet is er stilletjes en zonder al te veel voorafgaande discussie gekomen middenin het getouwtrek tussen Microsoft en de FBI over afgifte van data bij een Europese dochter van het Office-cloudbedrijf. Kort en goed zegt die wet, niet zeuren maar doen. Afgeven die hap, ook als die in het buitenland staat. Letterlijk (paragraaf 2713):

Electronic communication service providers and remote computing service providers must comply with the obligations of [this Act] to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.

Zo’n bevel kan aan Microsoft in Redmond, Washington worden gegeven. Die zou dan haar Duitse dochter kunnen opdragen die gegevens door te geven, want je zit nu eenmaal in een concern. Maar dat kan eigenlijk niet, want binnen de regels voor concerns kán een moeder niet direct bevelen wat een dochterbedrijf moet doen. Aandelen geven wel zeggenschap, maar geen bestuursbevoegdheid. Je moet dus het bestuur overtuigen, en dat kan eigenlijk alleen door te zeggen dat je het bestuur eruit gooit als ze niet doen wat je zegt. Dat zou nogal opvallen, en als in de statuten van die dochter ook nog vervelende dingen staan dan wordt dit helemaal een heilloze route.

Meer effect zou je als FBI hebben als je direct die Duitse dochter pakt en zegt, afgeven die hap, strikte geheimhouding en anders Gitmo for you. Maar ook dat wordt dan nog knap ingewikkeld, want dat mág helemaal niet. In de AVG is hier namelijk een specifiek artikel over opgenomen, artikel 48:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Een bevel onder de CLOUD Act voldoet niet aan die omschrijving. (Een rechtshulpverzoek aan de Duitse federale politie natuurlijk wel, maar die toetsen dan naar Duits recht en daar hoort iets meer openbaarheid en toetsing aan grondrechten bij.) Daarmee zou die Duitse dochter dus niet mee mogen werken op straffe van hoge boetes. Een vervelende spagaat; je moet iets afgeven op straffe van hoge boetes of zelfs celstraf, maar je mag het niet afgeven op straffe van minstens zo hoge boetes en dreiging van sluiting van je bedrijf (een verwerkingsverbod). Wat moet je dan doen als directie?

Arnoud