Een Amerikaanse rechter heeft bepaald dat Microsoft data moet afgeven aan Justitie, ondanks het feit dat die data op een server in Ierland staat en onder beheer is van Microsofts Ierse dochter. Dat meldde Slashdot gisteren. Microsoft had de search warrant aangevochten met de stelling dat de Ierse dochter buiten Amerikaanse jurisdictie valt, maar de rechter bepaalt nu dat dit geen relevant argument is bij clouddatavorderingen.
Het gelinkte Reuters-artikel legt uit dat het ging om e-maildata van een klant die op servers in Ierland stond. Deze servers worden beheerd door Microsofts Ierse dochter. Toen het moederbedrijf het bevel kreeg deze data af te geven, stapte men naar de rechter – zoals het bedrijf al meerdere malen had gemeld te zullen doen, in een poging angst over wereldwijd Patriotactdatagraaien bij Europese bedrijven en instellingen weg te nemen.
Het argument van Microsoft was gestoeld in twee eeuwen jurisprudentie: de Amerikaanse Justitie kan geen bevel geven om een buitenlands huis (of kantoorgebouw) te doorzoeken, ook niet als dat huis van een Amerikaan is. Daar mag men simpelweg niet in zoeken. En wat is nu het verschil tussen een server en een kantoorgebouw?
De rechter ziet het echter anders: het gaat hier niet om fysiek bezoeken van een locatie maar om het opvragen van data. En het is óók twee eeuwen jurisprudentie dat een Amerikaan die iets heeft dat moet komen brengen als de rechter daarom vraagt. Ook al ligt het iets in kwestie in een ander land. En als je die doctrine loslaat op e-mail dan moet Microsoft Inc de data dus maar gaan halen in Ierland. Of haar dochter bevelen dit te doen, wat ze juridisch kan aangezien dochterbedrijven moeten doen wat hun moederbedrijven zeggen.
Microsoft gaat bezwaar maken tegen deze beslissing. Een goede zaak, want dan krijgen we eindelijk eens écht duidelijkheid over hoe ver Amerikaans clouddatagraaien nu mag gaan. (Overigens gaat het hier niet om de Patriot Act maar de Stored Communications Act, qua concept vergelijkbaar met ons Wetboek van Strafvordering. En nu vraag ik me dus af of onze wet ook zo te lezen zou zijn als toepasselijk op data op een in het buitenland gehoste server van een Nederlands bedrijf. Ik kan er alleen niets over vinden…
Arnoud