image

Juridische vraag: Kunnen Europese bedrijven door een uitspraak van het Amerikaanse Supreme Court verplicht worden data aan de VS te verstrekken?

woensdag 25 oktober 2017, 13:28 door Arnoud Engelfriet, 13 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: De Supreme Court gaat uitspraak doen in de Microsoft-cloudzaak waarbij het Amerikaanse bedrijf door de rechter verplicht werd data van haar Europese dochter af te geven aan de FBI. Stel nu dat men in het voordeel van de overheid beslist, ben ik als Europese dataverwerker dan verplicht mee te werken als de FBI een bevel geeft aan mijn Amerikaanse moederbedrijf?

Antwoord: In 2014 bepaalde een rechter in de VS dat Microsoft Inc. (de Amerikaanse moeder) gehouden kon worden om gegevens van een klant van haar Ierse dochtermaatschappij af te geven als de FBI dat wilde. Kort gezegd was het argument daarvoor dat het geen argument is dat bewijsmiddelen in het buitenland liggen, je gaat ze maar halen. Maar die regel voelt niet echt gepast voor een clouddienst, zeker niet als je bedenkt dat Microsoft die dienst in Europa via een apart, Europees bedrijf levert.

Gelukkig werd in hoger beroep bepaald dat deze redenering van de FBI niet opging. De wet waar men zich op beroep (de Stored Communications Act) was niet bedoeld om de FBI ineens buitenlandse rechtsmacht te geven. En nu ligt de vraag dus bij het Supreme Court, dat erom bekend staat niet alleen juridische maar ook politieke visies mee te laten wegen in hun uitspraken. Het kán dus zomaar gebeuren dat men bepaalt dat het er wél staat, en dat een Europese dochter dus maar moet meewerken aan zo'n bevel.

Dat wordt dan nog knap ingewikkeld, want dat mág helemaal niet. In de AVG is hier namelijk een specifiek artikel over opgenomen, artikel 48:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Oftewel: wat een buitenlandse wet of rechtbank ook bepaalt, Europese bedrijven mogen alleen meewerken aan zo'n bepaling als dat in een verdrag tussen de EU en dat land is geregeld. De FBI zou dus een rechtshulpverzoek aan Nederland kunnen doen, waarna onze politie de data licht bij het datacentrum hier. Een opdracht van Microsoft Inc aan haar Nederlandse dochter "geef die data want wij moeten dit van de rechtbank afgeven" is dus keihard in strijd met Europees recht.

Als ons eigen OM dus vervolgens langskomt met een bevel tot afgifte, dan zul je mee moeten werken. Dat is dan gewoon wettelijk verplicht, en de AVG bepaalt dat als iets van een andere wet moet, het mag van de AVG.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (13)
25-10-2017, 14:57 door Anoniem
Gaat nog leuk worden. Ik werk ook voor een bedrijf met een Amerikaanse moeder. Tot nog toe hebben we dit niet meegemaakt en hebben we een goede legal afdeling om te raadplegen. Maar komen ze, dan zullen we die ook moeten raadplegen, want dan hebben we echt wel het gedonder in de glazen.
25-10-2017, 17:02 door Reinder
Stel dat het bedrijf mee zou willen werken met de FBI, om wat voor reden dan ook. Zou het moederbedrijf dan aan de buitenlandse vestiging opdracht kunnen geven de data te verplaatsen naar de Amerikaanse servers van diezelfde cloud-dienst, waarna ze de data eenvoudig kunnen verstrekken omdat die op dat moment immers op Amerikaanse servers staat?
Tussen de EU en de VS is er immers een verdrag waarmee het mogelijk is data van EU-burgers op te slaan in de VS.
25-10-2017, 17:35 door Anoniem
Dit is niet iets waar de internationale rechtsorde berekend op is. Er hoeft maar een land (*kuch* je weet wel wie *kuch*) structureel de grootste pestkop van het globale schoolplein uit te hangen en iedereen heeft er voortdurend last van.

Uiteindelijk is dit iets dat niet met wat verdragjes op te lossen is.
26-10-2017, 09:24 door Anoniem
Het zou nogal wat betekenen als dit wel zou mogen. Wij zijn als financiele instelling (en ik denk dat het voor alle bedrijven die persoonsgegevens verwerken geldt) verplicht om contracten af te sluiten met (Amerikaanse) leveranciers (MS, SalesForce, etc.) waar de clausule in is opgenomen dat data alleen binnen de EU wordt opgeslagen. Voor MS bijv. in hun datacenters in Ierland.

Als bovenstaande dus wel zou mogen, zijn al die contracten een wassen neus?
26-10-2017, 09:48 door Anoniem
Het onderliggende probleem voor de vraagsteller is niet echt opgelost met dit antwoord.

Stel nu dat men in het voordeel van de overheid beslist, ben ik als Europese dataverwerker dan verplicht mee te werken als de FBI een bevel geeft aan mijn Amerikaanse moederbedrijf?

Wat Arnoud heeft aangegeven, is dat het in strijd is met de wet in Europa. Dat wil dus zeggen dat de individuele medewerker van een Europese dochter hier niet aan mee mag werken. Hij zou anders zelf aangeklaagd kunnen worden.

je gaat ze maar halen

De vraag is hoe dit wordt uitgelegd. Als dit op papier was geweest, had Microsoft dan iemand naar Europa moeten vliegen om die papieren op te halen? Wat was dan de juridische status geweest als hij ze had meegenomen in het vliegtuig, over de grens?

Ik weet dat iets dergelijks ook speelde met PGP. Het was illegaal om de PGP sourcecode te exporteren. Het exporteren van een gedrukte versie was geen probleem. Dat werd toen dus gedaan. Het boek werd in Amerika opgehaald, naar Europa gebracht en hier overgetikt.

Peter
26-10-2017, 10:08 door Anoniem
Door Reinder: Stel dat het bedrijf mee zou willen werken met de FBI, om wat voor reden dan ook. Zou het moederbedrijf dan aan de buitenlandse vestiging opdracht kunnen geven de data te verplaatsen naar de Amerikaanse servers van diezelfde cloud-dienst, waarna ze de data eenvoudig kunnen verstrekken omdat die op dat moment immers op Amerikaanse servers staat?
Tussen de EU en de VS is er immers een verdrag waarmee het mogelijk is data van EU-burgers op te slaan in de VS.

Ook die verplaatsing zou illegaal kunnen zijn.
26-10-2017, 11:35 door Anoniem
De kans is natuurlijk zeer groot dat een grote US onderneming beheerders in de US heeft zitten die toegang hebben tot de systemen die gehost zijn in de EU. Is het dan toegestaan dat via een beheerder in de US de data uit de EU wordt binnen gehaald en aan de autoriteiten wordt overhandigd? Ik denk niet dat ieder van ons in contracten heeft opgenomen dat er geen beheer vanuit de US mag plaatsvinden. Alleen afspraken over hosting van de data.
26-10-2017, 12:10 door Anoniem
Door Anoniem: De kans is natuurlijk zeer groot dat een grote US onderneming beheerders in de US heeft zitten die toegang hebben tot de systemen die gehost zijn in de EU. Is het dan toegestaan dat via een beheerder in de US de data uit de EU wordt binnen gehaald en aan de autoriteiten wordt overhandigd? Ik denk niet dat ieder van ons in contracten heeft opgenomen dat er geen beheer vanuit de US mag plaatsvinden. Alleen afspraken over hosting van de data.

Is een logisch punt, maar beheerfunctionaliteiten hebben en het verplaatsen van data naar een andere jurisdictie zijn twee verschillende dingen. In beginsel zullen europese verwerkers overeenkomsten hebben met cloud- en/of serverproviders over de locatie waar de gegevens worden opgeslagen en/of verwerkt. Grote partijen als MS, Amazon etc. weten dondersgoed waarom dat van belang is en dat er zorgvuldig mee dient te worden omgegaan. Daarbij zijn die bedrijven vaak zelf ook zeer terughoudend in het overhandigen van data, nu het geen goede reputatie geeft als ze op elk verzoek losjes ingaan en alle data maar overhandigen.

Het punt wat hier vooral gemaakt wordt is dat de VS/FBI rechtsmacht claimt simpelweg omdat er een praktische mogelijkheid dan wel een machtspositie zou zijn voor Amerikaanse moederbedrijven om aan dergelijke gegevens te komen. Dat het Europees recht bepaald dat dit niet is toegestaan, zal de FBI een worst wezen, nu die slechts zullen luisteren naar hun 'eigen' rechter. Het is dus vooral aan de Amerikaanse moederbedrijven om op dergelijke verzoeken geen gehoor te geven, en zich daarbij te verdedigen dat dat in strijd is met Europese regelgeving die van toepassing is op hun activiteiten in Europa.
26-10-2017, 14:08 door Anoniem
encrypt, encrypt, encrypt
27-10-2017, 10:55 door Anoniem
Door Anoniem: Het zou nogal wat betekenen als dit wel zou mogen. Wij zijn als financiele instelling (en ik denk dat het voor alle bedrijven die persoonsgegevens verwerken geldt) verplicht om contracten af te sluiten met (Amerikaanse) leveranciers (MS, SalesForce, etc.) waar de clausule in is opgenomen dat data alleen binnen de EU wordt opgeslagen. Voor MS bijv. in hun datacenters in Ierland.

Als bovenstaande dus wel zou mogen, zijn al die contracten een wassen neus?
Het is al een keer gebeurd. Safe Harbor bleek niet te voldoen en nu hebben we Privacy Shield. Aan die overgang kan je zien hoe zoiets loopt. Ik zou er niet vanuit gaan dat Safe Harbor het laatste woord vormt.

Zoals je je verplichtingen formuleert klopt het trouwens niet. Je bent niet verplicht om contracten af te sluiten met die leveranciers dat ze persoonsgegevens in de EU opslaan, je mag je gegevensverwerking namelijk ook zelf doen. Maar als je het bij anderen onderbrengt dan blijf je er toch zelf verantwoordelijk voor en onderdeel van die verantwoordelijkheid is dat je de juiste afspraken met die leveranciers in contracten vastlegt.
27-10-2017, 11:02 door wica128
Er was toch ook een uitspraak van een Amerikaanse Rechter tegen Google, dat de data op buitenlandse servers staat is geen excuus, als Google bij wijze van spreken, de data in de rechtzaal zou kunnen opvragen.
27-10-2017, 13:56 door Anoniem
Het wordt tijd dat de Nederlandse politie alle informatie bij de MS cloud in de VS kan opvragen betreffende ene D.Trump. Tijd om de Nederlandse wet op eenzelfde basis internationaal te verruimen met de clausule dat dat vooralsnog alleen voor informatie in de VS geldt. Als alle andere 27 EU landen (en vrienden) dat doen wordt de FBI waarschijnlijk twel eruggefloten.
01-11-2017, 16:12 door Anoniem
Door wica128: Er was toch ook een uitspraak van een Amerikaanse Rechter tegen Google, dat de data op buitenlandse servers staat is geen excuus, als Google bij wijze van spreken, de data in de rechtzaal zou kunnen opvragen.
In dat geval was de data op basis van een algoritme verspreid over meerdere locaties en dus buitenland, dus niet alleen in de land waar het account was aangemaakt oid. In dit Outlook geval was de data alleen in Ierland aanwezig (account was in dat land aangemaakt). Fundamenteel verschil.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.