Een hoop ophef en vraagtekens vorige week over het einde van Privacy Shield. Een belangrijke zorg was weggelegd voor de Cloud Act, want daarmee zouden Amerikaanse overheden ook toegang tot Europese data alhier kunnen vorderen. Daarmee zou de standaard oplossing – blijf in een Europees datacenter bij een Europees bedrijf – ook gevaar lopen. Hoe ver reikt die wet nu eigenlijk?
De Cloud Act is er gekomen naar aanleiding van een rechtszaak tussen Microsoft en de FBI over afgifte van data bij een Europese dochter van het Office-cloudbedrijf. Kort en goed zegt die wet, niet zeuren maar doen. Afgeven die hap, ook als die in het buitenland staat. Letterlijk (paragraaf 2713):
Electronic communication service providers and remote computing service providers must comply with the obligations of [this Act] to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.
Zo’n bevel kan aan Microsoft in Redmond, Washington worden gegeven. Die zou dan haar Europese dochter kunnen opdragen die gegevens door te geven, aldus deze wet.
Maar dat kan eigenlijk niet, want binnen de regels voor concerns kán een moeder niet direct bevelen wat een dochterbedrijf moet doen. Aandelen geven wel zeggenschap, maar geen bestuursbevoegdheid. Je moet dus het bestuur overtuigen, en dat kan eigenlijk alleen door te zeggen dat je het bestuur eruit gooit als ze niet doen wat je zegt. Dat zou nogal opvallen, en als in de statuten van die dochter ook nog vervelende dingen staan dan wordt dit helemaal een heilloze route.
Bovendien is er artikel 48 AVG:
Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.
Een bevel onder de CLOUD Act voldoet niet aan de eisen van dit artikel. De Europese dochter moet dit dus naast zich neerleggen, op straffe van hoge boetes (in theorie 20 miljoen Euro, art. 48 jo. 83 lid 5 AVG).
En meer algemeen vraag ik me dus al tijden af, hoe gaat dit überhaupt werken, dat vanuit Amerika opvorderen van persoonsgegevens? Moet de Ierse dochter van Microsoft dan een achterdeur inbouwen, komt er een bevel tegen de Ierse directie en zo ja hoe gaan ze dat dan afdwingen? Er zijn immers geen verdragen over wederzijds erkennen van zulke inzagebevelen. Dat is waar we al heel lang rechtshulpverzoeken voor hebben immers.
Ik zie hoe er een risico is als je data in de VS hebt staan, want dan kan men erbij en dat mag dan dus. Maar als je data hier staat en de beherend entiteit is Europees (ook al is de moedermaatschappij Amerikaans) dan zie ik gewoon niet hoe in de praktijk die data naar de VS zou gaan als de FBI dat zou willen.
Arnoud