Mag de Nederlandse overheid in clouddata graaien?

cloud.pngHet is onmogelijk data in de cloud te beschermen tegen toegang door overheden, las ik bij Webwereld. Elk land kan zich toegang verschaffen tot data, ongeacht waar de opslagservers staan, niet alleen de Amerikanen met hun Patriot Act. Dat was de conclusie van een onderzoek van advocatenkantoor Hogan Lovells naar internationale bevoegdheden in (straf)wetgeving.

De conclusie van Hogan Lovells komt kort gezegd neer op dat elk land bevoegdheden heeft om data te vorderen van providers, dus ook bij cloudproviders. En die bevoegdheden vermelden nooit de beperking dat de data fysiek in het eigen land moet staan. Zo bepaalt onze wet in artikel 126nd Strafvordering:

In geval van verdenking van een [ernstig misdrijf] kan de officier van justitie in het belang van het onderzoek van degene van wie redelijkerwijs kan worden vermoed dat hij toegang heeft tot bepaalde opgeslagen of vastgelegde gegevens, vorderen deze gegevens te verstrekken.

Update (14:01) En verderop in 126ng Strafvordering staat het voor providers meer relevante artikelen.

In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid , dat gezien zijn aard of de samenhang met andere door de verdachte begane misdrijven een ernstige inbreuk op de rechtsorde oplevert, kan de officier van justitie, indien het belang van het onderzoek dit dringend vordert, van de aanbieder van wie redelijkerwijs kan worden vermoed dat hij toegang heeft tot gegevens als bedoeld in de laatste volzin van het eerste lid, deze gegevens vorderen, voor zover zij klaarblijkelijk van de verdachte afkomstig zijn, voor hem bestemd zijn, op hem betrekking hebben of tot het begaan van het strafbare feit hebben gediend, of klaarblijkelijk met betrekking tot die gegevens het strafbare feit is gepleegd.

Dit artikel wordt bijvoorbeeld ingezet om kopieën van mailboxen te krijgen bij een provider. Het moet gaan om een ernstig misdrijf, staat hier, maar verderop staat dat het óók mag bij minder ernstige misdrijven en bovendien moet mits dan maar de rechter-commissaris zijn goedkeuring geven. En volgens artikel 126ne kan men de provider ook verplichten om toekomstige data op te slaan en af te geven. Dit mag niet worden gemeld aan de verdachte.

Is dit nu ernstiger dan de Patriot Act? In eerste instantie, já. Immers bij ons kan een officier van justitie bij een ernstig misdrijf zelfstandig besluiten dat hij wil datagraaien, terwijl in de VS die officier een rechter uit z’n bed moet bellen. Behalve dan bij een National Security Letter, waarbij alleen achteraf gerechtelijke toetsing plaatsvindt, daar mag dus ook in de VS zonder rechter worden gegraaid. Alleen mag een NSL formeel alleen bij terroristische misdrijven worden afgegeven, hoewel dat dus niet te controleren is.

Maar de Amerikanen kunnen het ook bij data die niet fysiek in de VS staat, zo gaat het verhaal. Nou, dat kan bij ons ook. Er moet natuurlijk een linkje zijn naar jurisdictie van Nederland, maar de plaats van de server is niet in z’n eentje beslissend voor die vraag. Een Nederlands hostingbedrijf dat een bevel krijgt om een mailbox af te geven, gaat écht niet wegkomen met “sorry de server staat fysiek in Duitsland”.

Het zal wel aan mij liggen, maar het rapport leest héél erg als een Amerikaanse jijbak op alle verwijten dat de USA PATRIOT ACT ongecontroleerd graaien in clouddata mogelijk maakt. Tegelijkertijd is het een feit dat ook andere overheden de nodige bevoegdheden hebben, ook in Europa. En, belangrijker, dat niemand écht weet hoe dit uitpakt bij clouddata, omdat er niets over gepubliceerd of geprocedeerd is. Er zit een héle grote mate van speculatie en FUD in dit hele debat.

Arnoud