“Jurisdictie wordt bepaald door waar je informatie als eerste binnenkomt”, pardon?

transatlantic-cable-kabel-internetIk heb een paar arresten gemist geloof ik. In NRC Handelsblad van gisteren stond een artikel over de cloud, met daarin de intrigerende opmerking:

Ja, Softlayer is een Amerikaans bedrijf, waarvoor Amerikaanse wetten gelden. Maar alleen voor informatie die als eerste in de VS is opgeslagen: „Het Amsterdamse deel is Nederlands. Informatie die hier als eerste binnenkomt, valt dus onder Nederlandse wet.”

Nee. Néé. Gewoon níet. Hoe kóm je bij dat criterium, “als eerste opgeslagen”. Noem mij één wet of gerechtelijke uitspraak waar dit uit volgt.

Voor zover ik weet zijn de Amerikanen heel simpel: als we erbij kunnen valt het onder ons recht. En aangezien 90% van de cloud fysiek in de VS staat, is dat lekker makkelijk voor ze. (Dit even los van hoe makkelijk ze erbij mogen, patriotacttechnisch.)

Verder ken ik geen enkele uitspraak van een rechter dat jurisdictie bepaald wordt door waar data het éérst binnenkomt. Het Hof van Justitie hier houdt het bij dingen als “gericht op een land”, door bv te kijken naar wat voor telefoonnummer je hebt, welke taal, valutakeuze en bezorgmethoden. Bol.com is Nederlands want 0900-nummer, iDealbetaling, Nederlands en Post.nl. Waar de servers staan en dat de domeinnaam een .com is, maakt niet uit. En over waar de data voor het eerst binnenkwam staat er al helemáál niets in die arresten.

Nog een leuke quote:

Wij passen de capaciteit van het serverpark daarop aan: informatie die op dat moment niet nodig is, verplaatsen we binnen ons netwerk naar een plek waar iedereen slaapt, zeg aan de Oostkust van de VS.

Ik heb me altijd afgevraagd wat er gebeurt als je in de VS een Nazi-site host (die daar legaal is) die dan ’s nachts naar Duitsland drijft (waar dat heel erg verboden is). Dan ben je dus strafbaar door de acties van je cloudprovider.

Iemand enig idee waar hij dit op baseert?

Arnoud

Wanneer is een cloudprovider Amerikaans (of Nederlands)?

cloud-flag-usaEen lezer vroeg me:

Vorig jaar blogde je over de Amerikaanse cloud en de risico’s daarvan. Maar wat maakt een cloudprovider “Amerikaans”? Moet je dan kijken naar de rechtsvorm van het bedrijf, de locatie van de servers, wat men op de site zet of welk ander criterium geldt er?

Met de term “Amerikaanse cloud” bedoelde ik clouddienstverleners waar de Amerikaanse overheid (rechts-)macht over kan uitoefenen. Een in de VS gevestigde en opererende partij (Amazon Inc. met haar datacenter in Virginia bijvoorbeeld) valt hier evident over. Maar ook het Amerikaanse Google Inc met haar datacenter in Groningen, Nederland valt eronder. Het bedrijf zelf opereert in de VS en kan dus door de rechter aldaar worden gedwongen data uit dat Nederlandse datacenter over te hevelen naar de Amerikaanse politie of Justitie.

Wat nu als het een Nederlandse BV is die eigenaar is van dat datacenter? Dat lijkt niet veel uit te maken, want men kan dan nog steeds de Amerikaanse moedermaatschappij bewerken en die kan dan haar dochter sommeren de data te overhandigen. Als de moedermaatschappij immers de zeggenschap heeft, dan kan de dochter daar niets tegen doen. Als in het contract tussen moeder en dochter staat dat de moeder niets mag vragen dat tegen de lokale wetgeving van de dochter in gaat, of als de dochter zegt dat de opdracht gewoon in strijd is met die lokale wetgeving, dan wordt het spannend. Of en hoe dát standhoudt durf ik echt niet te zeggen.

De omgekeerde situatie kan ook: een Nederlandse BV die servers fysiek in Amerika ondergebracht heeft (gehuurd of gekocht of virtueel). Die BV valt niet onder Amerikaans recht, maar de partij in wiens lokaal die servers fysiek staan wél. En langs die weg kan dan alsnog een gerechtelijk bevel tot inzage van de servers worden afgegeven. De Nederlandse BV kan de data encrypten (Mega, kom d’r maar in) zodat de Amerikaanse overheid niets met die data kan, maar het zal van de bedrijfsvoering afhangen of dat haalbaar is.

Maar ook als een bedrijf geen fysieke banden met een land heeft, kan dat land soms toch rechtsmacht uitoefenen tegen het bedrijf. Wanneer een bedrijf zich expliciet richt op een land, dan is het goed verdedigbaar dat dat land daar dan wat over mag zeggen. Een webshop die in het Nederlands is, iDealbetalingen toestaat en bezorgt via Postnl valt onder Nederlands recht. Dat de domeinnaam een .com is en de server in Duitsland staat, doet er dan niet meer toe. Je zou zoiets ook prima op een clouddienstverlener kunnen toepassen.

In het strafrecht ken ik geen vergelijkbare jurisprudentie, maar het Wetboek van Strafrecht kent wel de nodige expliciete bepalingen die mensen in het buitenland strafbaar maken onder de Nederlandse wet. Natuurlijk is het wel lastiger om een buitenlander hier te veroordelen én te bestraffen, maar als er een uitleveringsverdrag is dan zijn er mogelijkheden. En binnen de EU kan dit via overlevering bereikt worden.

De ietwat platte samenvatting is dus dat je onder het recht van een land valt als ze bij jou of bij je spullen kunnen. Dat kun je aankleden met allerlei mooie rechtstheorieën maar volgens mij komt het uiteindelijk daarop neer.

Arnoud