Column


IT-jurist Peter van Schelven over...

Nieuwe VS Cloud Act & Europese privacy

Stel, je bent gebruiker van Outlook en jouw e-mailberichten liggen opgeslagen in het grote datacenter van Microsoft in Ierland. Binnen Europa dus. Kunnen Amerikaanse opsporingsinstanties zoals de FBI het hoofdkantoor van Microsoft in Redmond, Washington opdragen om die e-mailberichten aan hen over te dragen voor een Amerikaans justitieel onderzoek?

Die vraag is inzet geweest van een spraakmakende, sinds 2013 lopende juridische procedure in de Verenigde Staten, waarin Microsoft zich met hand en tand heeft verzet tegen deze aantasting van de privacy van hun Europese klanten. Deze rechtszaak is terechtgekomen bij de Supreme Court, het hoogste rechtscollege van de Verenigde Staten.

Grote belangen
In de procedure heeft Microsoft laten zien het thema van de Europese privacy uiterst serieus te nemen en dat siert Microsoft. Het verstrekken van de in Dublin opgeslagen berichten aan de Amerikaanse justitie zou, in de ogen van Microsoft, een schending zijn van de Europese privacyregels. Het belang voor Microsoft zelf was ook groot. Het IT-bedrijf wilde met de procedure voorkomen knel te komen zitten tussen een Amerikaans bevel van opsporingsautoriteiten enerzijds en Europese wetgeving anderzijds.

Het is niet vreemd dat de opstelling van Microsoft in deze rechtszaak op bijval vanuit Europa kon rekenen. Zo heeft de Europese Commissie in december vorig jaar de Supreme Court in een brief gewezen op de inhoud en het belang van de AVG, de Europese privacywetgeving.

Donald Trump
De rechtszaak bij de Supreme Court is onlangs voortijdig beëindigd vanwege de komst van een opmerkelijke nieuwe Amerikaanse wet. Op 23 maart jongstleden heeft Donald Trump als president zijn handtekening gezet onder de zogeheten Cloud Act, waarmee hij met één pennenstreek de lopende rechtszaak compleet zinloos maakte. Het gaat hier om een nieuwe wet die in enkele weken in hoog tempo in elkaar is gezet.

Te verwachten valt dat deze wet in Europa veel tongen los zal maken. Zowel voor- als tegenstanders van een stevige vorm van privacybescherming vinden in de wet aanknopingspunten voor hun gelijk. Persoonlijk meen ik dat de Cloud Act de bescherming van de persoonsgegevens van burgers in Europa vergaand dreigt te ondermijnen. Voor de burgers in Europa is de wet een forse stap achteruit.

Overzeese data
De Cloud Act geeft een tamelijk complexe nieuwe regeling, waarin Amerikaanse providers (“provider of electronic communication service or remote computing service”) verplicht worden om data van burgers desgevraagd aan autoriteiten over te dragen, ongeacht of die data binnen of buiten de Verenigde Staten zijn opgeslagen. De afkorting Cloud Act staat voor ‘Clarifying Lawful Overseas Use of Data Act’. In die titel ligt het overzeese karakter van de wet al besloten.

Met die hoofdregel in de hand kan de Amerikaanse justitie dus persoonsgegevens die bij Microsoft in Ierland zijn opgeslagen opvorderen. Dat geldt uiteraard ook voor andere Amerikaanse providers met een datacenter in Europa. Naar ik uit de media heb begrepen, heeft Microsoft vanwege de nieuwe wet de e-mailberichten waarover het in de procedure ging, inmiddels afgegeven. Een soort capitulatie van Microsoft.

Papieren beschermingsregeling
Betekent dat dan dat Amerikaanse cloud- en telecomproviders met een datacenter in Europa en al hun Europese klanten door de Cloud Act in de kou worden gezet? Op paper niet, maar in werkelijkheid wel. De nieuwe wet geeft providers bepaalde rechten om zich te verzetten tegen een vordering om data af te staan, maar daaraan zitten echter zoveel haken en ogen dat de mogelijkheid om een vordering om data te verstrekken onderuit te halen feitelijk weinig voorstelt.

Ik zal u hier de details van de theoretische, papieren beschermingsregeling uit de Cloud Act besparen. Het is voldoende om voor ogen te houden dat een Amerikaanse rechter onder de Cloud Act pas enige bescherming kan geven als er nieuwe internationale afspraken tussen de VS en andere landen (of de EU) bestaan, maar dergelijke afspraken zijn er nu niet en zullen ook niet 1-2-3 uit een hoge hoed kunnen worden getoverd. De beschermingsregeling is daarmee een lege dop.

Juridisch imperialisme
Trump heeft met het ondertekenen van de Cloud Act een nieuwe stap gezet in het juridisch imperialisme van de Verenigde Staten. De grip van de president en justitie van Amerika op data, waar dan ook ter wereld opgeslagen, is met deze wet fors toegenomen: America First…! Let wel: het gaat hier de facto om een nagenoeg ongecontroleerde grip op data.

De Cloud Act ondermijnt wereldwijd de bescherming van persoonsgegevens. De AVG en het tussen de VS en Europa sinds 1 augustus 2016 bestaande Privacy Shield veranderen daar niets aan. Ik vraag me daarom af of, en zo ja hoe de Europese politiek op deze Amerikaanse ontwikkeling gaat reageren. Pikt Europa de Cloud Act klakkeloos? Of zorgt de Europese Unie, ingegeven door de veronderstelde behoefte de privacybelangen van haar eigen burgers te beschermen, voor een passende en krachtige reactie? Het is afwachten. Eén ding is wel zeker: over de Cloud Act is het laatste woord nog niet gezegd…

IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com.  

Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over