Worden Europese bedrijven straks verplicht data aan de VS te geven?

| AE 9756 | Cloud | 23 reacties

De Supreme Court gaat uitspraak doen in de Microsoft-cloudzaak waarbij het Amerikaanse bedrijf door de rechter verplicht werd data van haar Europese dochter af te geven aan de FBI. Dat las ik (dank, tipgevers) bij Ars Technica. De zaak loopt al een tijdje en kan enorme gevolgen hebben voor de bruikbaarheid van de cloud voor Europese bedrijven. Want als het precedent wordt “ja dat moet je afgeven” dan wordt je data stallen bij zelfs een Europese dochter van een Amerikaans bedrijf een tikje ingewikkeld.

In 2014 bepaalde een rechter in de VS dat Microsoft Inc. (de Amerikaanse moeder) gehouden kon worden om gegevens van een klant van haar Ierse dochtermaatschappij af te geven als de FBI dat wilde. Kort gezegd was het argument daarvoor dat het geen argument is dat bewijsmiddelen in het buitenland liggen, je gaat ze maar halen. Maar die regel voelt niet echt gepast voor een clouddienst, zeker niet als je bedenkt dat Microsoft die dienst in Europa via een apart, Europees bedrijf levert.

Gelukkig werd in hoger beroep bepaald dat deze redenering van de FBI niet opging. De wet waar men zich op beroep (de Stored Communications Act) was niet bedoeld om de FBI ineens buitenlandse rechtsmacht te geven. En nu ligt de vraag dus bij het Supreme Court, dat erom bekend staat niet alleen juridische maar ook politieke visies mee te laten wegen in hun uitspraken. Het kán dus zomaar gebeuren dat men bepaalt dat het er wél staat, en dat een Europese dochter dus maar moet meewerken aan zo’n bevel.

Dat wordt dan nog knap ingewikkeld, want dat mág helemaal niet. In de AVG is hier namelijk een specifiek artikel over opgenomen, artikel 48:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Oftewel: wat een buitenlandse wet of rechtbank ook bepaalt, Europese bedrijven mogen alleen meewerken aan zo’n bepaling als dat in een verdrag tussen de EU en dat land is geregeld. De FBI zou dus een rechtshulpverzoek aan Nederland kunnen doen, waarna onze politie de data licht bij het datacentrum hier. Een opdracht van Microsoft Inc aan haar Nederlandse dochter “geef die data want wij moeten dit van de rechtbank afgeven” is dus keihard in strijd met Europees recht.

Arnoud

Gegevensverwerking in Windows 10 via telemetrie is in strijd met wet

| AE 9745 | Privacy | 38 reacties

De Autoriteit Persoonsgegevens heeft op basis van een eigen onderzoek geconcludeerd dat Microsoft de wet overtreedt door de manier waarop het in Windows 10 gegevens verwerkt. Dat meldde Tweakers vorige week. Uit het onderzoek blijkt dat Microsoft allerlei gegevens van de gebruikers verzamelt, zoals de namen, wachtwoorden, geboortedata, het geslacht, telefoonnummers en e-mailadressen. Dit wordt onder het mom van “telemetrie” doorgestuurd naar Microsoft, maar onduidelijk blijft wat er dan precies mee gebeurt.

Het 241 pagina’s tellende onderzoeksrapport maakt duidelijk dat Microsoft bij gebruikers van Windows 10 voortdurend technische prestatie- en gebruiksgegevens verzamelt van elk apparaat waarop het is geïnstalleerd. Dat heet dan met een mooi neutraal woord “telemetriegegevens”, maar het zijn natuurlijk persoonsgegevens – ze onthullen informatie over de gebruiker, zoals welke apps hij gebruikt of websurfgedrag. Dat is eigenlijk nauwelijks te verantwoorden zonder duidelijke informatie en apart verkregen toestemming.

In de eerste versies van Windows 10 was allesbehalve duidelijk wat er nu precies werd verzameld en voor welk doel. De zogeheten Creators Update veranderde een en ander. Microsoft verduidelijkte dat de telemetriegegevens voor vijf doeleinden gebruikt konden worden:

  1. Fouten oplossen
  2. Apparaten up-to-date en veilig houden
  3. Het verbeteren van Microsoft producten en diensten.
  4. Het tonen van gepersonaliseerde reclame in Windows en Edge, inclusief reclame voor alle apps uit de Windows store
  5. Het tonen van gepersonaliseerde reclame in apps

Die laatste twee waren uit te schakelen, en voor die eerste twee valt wel te verdedigen dat dat misschien wel nodig is in de relatie leverancier-gebruiker. Alleen, bij het onderzoek bleek dat ontwikkelaars nieuwe toepassingen van de data konden implementeren zonder dat daar apart opnieuw melding van (laat staan toestemming voor) gevraagd werd. Een algemene opt-out was er wel, maar dat is niet genoeg (zeker niet omdat ie niet alles outte).

En dat kan gewoon niet, onder de Wbp niet en onder de AVG niet:

Door de combinatie van doeleinden waarvoor de verzamelde gegevens kunnen worden verwerkt en het gebrek aan transparantie, kàn Microsoft geen grondslag verkrijgen voor de gegevensverwerking, zoals toestemming of noodzaak voor de behartiging van haar gerechtvaardigd belang. Daarom kan ook geen sprake zijn van een gerechtvaardigd doeleinde voor de gegevensverwerking bij volledige telemetrie. Daarnaast geldt dat de eerste vier doeleinden zeer algemeen zijn geformuleerd, en daarmee niet voldoen aan het vereiste uit artikel 7 van de Wbp dat doeleinden welbepaald moeten zijn, en uitdrukkelijk omschreven.

Een belangrijk punt waarop Microsoft onderuit gaat, is de informatievoorziening. Nergens is in detail te lezen wat men nu precies verzamelt, laat staan wat daarmee gebeurt. Zelfs systeembeheerders kunnen niet zien wat er allemaal naar Microsoft gaat.

De typische ICT praktijk om in privacyverklaringen “Wij mogen alles doen onder het kader van verbetering van de gebruikservaring” op te nemen en dan te zeggen “dan moet je maar Linux gebruiken” als mensen het niet snappen, is dus eenvoudigweg niet toegestaan onder privacywetgeving. Je moet specifiek en gericht zeggen wat je gaat doen, en als je andere dingen wilt gaan doen dan moet je daar apart op terugkomen. Dat gaat nog een uitdaging worden volgend jaar.

Arnoud

Google moet wél buitenlandse e-mails overdragen aan de FBI

| AE 9261 | Privacy, Software | 19 reacties

Een Amerikaanse rechter heeft bepaald dat Google ook e-mails die op servers buiten de VS zijn opgeslagen moet overdragen aan de FBI in een zaak over binnenlandse fraude. Dat meldde Nu.nl onlangs. Deze beslissing staat lijnrecht tegenover de hogerberoepszaak van Microsoft dat géén berichten opgeslagen in het buitenland hoefde af te geven aan de Amerikaanse justitie. Daarmee is vooral de kans levensgroot geworden dat dit naar de Supreme Court gaat, dat zo een definitieve uitspraak moet gaan doen over of Amerikaanse cloudbedrijven nog zaken mogen doen met Europese klanten.

De zaak begon relatief simpel: de FBI had twee warrants bij Google neergelegd om e-mails te vorderen van verdachten in twee strafzaken. De verdachten woonden in de VS, de strafzaken waren in de VS begaan en de andere partijen bij de mails waren ook allemaal Amerikaans. Om technische redenen bleek Google een deel van de maildata toch buiten de VS te hebben opgeslagen, en met een beroep op het Microsoft-precedent van vorig jaar weigerden ze daar dan ook inzage in te geven.

De rechter die de warrant had afgegeven, bepaalt nu dat ook die buitenlandse data gewoon afgegeven moet worden. Het Microsoft-precedent lag anders. Daar was de data in beheer bij een Ierse dochter. Als je daar als Europees burger zaken mee doet, dan sta je wel héél raar te kijken als de FBI je data meeneemt. Dat raakt dan aan je privacyverwachting, en de regels over warrants zijn uiteindelijk geschreven om de privacy van de burger te beschermen.

Hier lag dat anders: als je als Amerikaan met een Amerikaan mailt via de Amerikaanse dienst Gmail, dan wéét je dat de FBI jurisdictie heeft en zo nodig je mails kan opvorderen met een warrant. Dat er dan toevallig op de achtergrond af en toe een blokje van je data in het buitenland staat, maakt dan niet meer uit. Voor hetzelfde geld was die morgen weer terug in de VS en dan hadden we deze hele discussie niet gehad. Dus niks privacyverwachting.

Op zich een begrijpelijke uitkomst, maar het creëert wel weer een hoop onzekerheid over waar we nu staan met de Europese cloud. Want zou het ook zo uitpakken als een van de partijen Europees was? Dat is alweer een stapje verder richting het mogen opvragen van ieders data.

In ieder geval, we hebben nu twee tegengestelde uitspraken over data in het buitenland. En de kans is daarmee levensgroot dat de zaak naar de Supreme Court gaat voor een definitieve beslissing. Of dat goed nieuws is, kun je je afvragen: de Supreme Court is niet perse positief over privacy van buitenlanders. Daar staat tegenover dat zolang er 8 rechters in zitten (in plaats van de gebruikelijke 9) de kans op een ‘hung court’ groot is, en dan blijft het precedent van Microsoft in stand. Dát zou erg waardevol nieuws zijn, want alleen met zo’n uitspraak kan de cloud in stand blijven.

Arnoud

De cloud is (even) gered, Microsoft hoeft geen Europese klantgegevens af te geven

| AE 8793 | Privacy, Strafrecht | 12 reacties

Microsoft hoeft e-mails die opgeslagen zijn bij zijn datacenters in Ierland niet over te dragen aan de Amerikaanse rechter. Dat las ik bij Tweakers. In het langverwachte hoger beroep bepaalde het gerechtshof dat de Amerikaanse Justitie geen grond heeft om een Amerikaans moederbedrijf te dwingen data op te halen bij haar niet-Amerikaanse dochters. Daarmee is… Lees verder

Microsoft vecht bevel tot afgifte Europese e-mails aan

| AE 6927 | E-mail, Strafrecht | 20 reacties

Microsoft gaat in beroep tegen een rechterlijk bevel om e-mails van Europese gebruikers te overhandigen aan de Amerikaanse overheid, las ik bij Webwereld. In april had de Amerikaanse Justitie een bevel gegeven aan de Amerikaanse moeder tot afgifte van mails opgeslagen bij Microsofts Ierse dochtermaatschappij. Het bevel wordt nu door de rechtbank bevestigd, maar Microsoft… Lees verder

Microsoft haalt No-IP-domeinen offline vanwege malwaredistributie

| AE 6768 | Aansprakelijkheid, Beveiliging | 22 reacties

Microsoft heeft maandag ruim twintig domeinen van No-IP, een veelgebruikte ddns-provider, offline laten halen, meldde Tweakers. No-IP biedt dynamische domeinnamen die volgens Microsoft veel gebruikt worden door de Bladabindi- en Jenxcus botnets. Met een ex parte temporary restraining order (TRO) heeft Microsoft het voor elkaar gekregen beheerder van 23 domeinnamen in beheer bij No-IP te… Lees verder

Amerikaanse rechter claimt rechtsmacht over data op Europese Microsoft-servers

| AE 6602 | E-mail, Strafrecht | 41 reacties

Een Amerikaanse rechter heeft bepaald dat Microsoft data moet afgeven aan Justitie, ondanks het feit dat die data op een server in Ierland staat en onder beheer is van Microsofts Ierse dochter. Dat meldde Slashdot gisteren. Microsoft had de search warrant aangevochten met de stelling dat de Ierse dochter buiten Amerikaanse jurisdictie valt, maar de… Lees verder

Gelden de EULA’s van Apple en Microsoft eigenlijk wel bij aanschaf van een nieuwe computer?

| AE 6458 | Contracten | 25 reacties

Een lezer vroeg me: Als ik een MacBook van Apple koop (en die koop omvat de computer zelf inclusief het besturingssysteem), krijg ik de AV van Apple (hun EULA) pas te zien als ik de laptop aanzet. Is dat juridisch wel correct? Je moet toch algemene voorwaarden bij de aankoop ter hand stellen en niet… Lees verder

Microsoft verwijdert Tor-software in strijd tegen botnet, mag dat?

| AE 6300 | Beveiliging | 9 reacties

Om het Sefnit-botnet tegen te houden, heeft Microsoft op zo’n twee miljoen computers de anonimiteitssoftware Tor verwijderd, zo las ik bij Daily Dot (via). Sefnit communiceerde via het Tor-netwerk waarmee een hoog niveau van anonimiteit kan worden behaald. Toen Microsoft dit doorhad, was het een kwestie van de Tor software toevoegen aan de detectie van… Lees verder