Juridische vraag: Kunnen Europese bedrijven door een uitspraak van het Amerikaanse Supreme Court verplicht worden data aan de VS te verstrekken?
Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: De Supreme Court gaat uitspraak doen in de Microsoft-cloudzaak waarbij het Amerikaanse bedrijf door de rechter verplicht werd data van haar Europese dochter af te geven aan de FBI. Stel nu dat men in het voordeel van de overheid beslist, ben ik als Europese dataverwerker dan verplicht mee te werken als de FBI een bevel geeft aan mijn Amerikaanse moederbedrijf?
Antwoord: In 2014 bepaalde een rechter in de VS dat Microsoft Inc. (de Amerikaanse moeder) gehouden kon worden om gegevens van een klant van haar Ierse dochtermaatschappij af te geven als de FBI dat wilde. Kort gezegd was het argument daarvoor dat het geen argument is dat bewijsmiddelen in het buitenland liggen, je gaat ze maar halen. Maar die regel voelt niet echt gepast voor een clouddienst, zeker niet als je bedenkt dat Microsoft die dienst in Europa via een apart, Europees bedrijf levert.
Gelukkig werd in hoger beroep bepaald dat deze redenering van de FBI niet opging. De wet waar men zich op beroep (de Stored Communications Act) was niet bedoeld om de FBI ineens buitenlandse rechtsmacht te geven. En nu ligt de vraag dus bij het Supreme Court, dat erom bekend staat niet alleen juridische maar ook politieke visies mee te laten wegen in hun uitspraken. Het kán dus zomaar gebeuren dat men bepaalt dat het er wél staat, en dat een Europese dochter dus maar moet meewerken aan zo'n bevel.
Dat wordt dan nog knap ingewikkeld, want dat mág helemaal niet. In de AVG is hier namelijk een specifiek artikel over opgenomen, artikel 48:
Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.
Oftewel: wat een buitenlandse wet of rechtbank ook bepaalt, Europese bedrijven mogen alleen meewerken aan zo'n bepaling als dat in een verdrag tussen de EU en dat land is geregeld. De FBI zou dus een rechtshulpverzoek aan Nederland kunnen doen, waarna onze politie de data licht bij het datacentrum hier. Een opdracht van Microsoft Inc aan haar Nederlandse dochter "geef die data want wij moeten dit van de rechtbank afgeven" is dus keihard in strijd met Europees recht.
Als ons eigen OM dus vervolgens langskomt met een bevel tot afgifte, dan zul je mee moeten werken. Dat is dan gewoon wettelijk verplicht, en de AVG bepaalt dat als iets van een andere wet moet, het mag van de AVG.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Tussen de EU en de VS is er immers een verdrag waarmee het mogelijk is data van EU-burgers op te slaan in de VS.
Uiteindelijk is dit iets dat niet met wat verdragjes op te lossen is.
Als bovenstaande dus wel zou mogen, zijn al die contracten een wassen neus?
Wat Arnoud heeft aangegeven, is dat het in strijd is met de wet in Europa. Dat wil dus zeggen dat de individuele medewerker van een Europese dochter hier niet aan mee mag werken. Hij zou anders zelf aangeklaagd kunnen worden.
De vraag is hoe dit wordt uitgelegd. Als dit op papier was geweest, had Microsoft dan iemand naar Europa moeten vliegen om die papieren op te halen? Wat was dan de juridische status geweest als hij ze had meegenomen in het vliegtuig, over de grens?
Ik weet dat iets dergelijks ook speelde met PGP. Het was illegaal om de PGP sourcecode te exporteren. Het exporteren van een gedrukte versie was geen probleem. Dat werd toen dus gedaan. Het boek werd in Amerika opgehaald, naar Europa gebracht en hier overgetikt.
Peter
Tussen de EU en de VS is er immers een verdrag waarmee het mogelijk is data van EU-burgers op te slaan in de VS.
Ook die verplaatsing zou illegaal kunnen zijn.
Is een logisch punt, maar beheerfunctionaliteiten hebben en het verplaatsen van data naar een andere jurisdictie zijn twee verschillende dingen. In beginsel zullen europese verwerkers overeenkomsten hebben met cloud- en/of serverproviders over de locatie waar de gegevens worden opgeslagen en/of verwerkt. Grote partijen als MS, Amazon etc. weten dondersgoed waarom dat van belang is en dat er zorgvuldig mee dient te worden omgegaan. Daarbij zijn die bedrijven vaak zelf ook zeer terughoudend in het overhandigen van data, nu het geen goede reputatie geeft als ze op elk verzoek losjes ingaan en alle data maar overhandigen.
Het punt wat hier vooral gemaakt wordt is dat de VS/FBI rechtsmacht claimt simpelweg omdat er een praktische mogelijkheid dan wel een machtspositie zou zijn voor Amerikaanse moederbedrijven om aan dergelijke gegevens te komen. Dat het Europees recht bepaald dat dit niet is toegestaan, zal de FBI een worst wezen, nu die slechts zullen luisteren naar hun 'eigen' rechter. Het is dus vooral aan de Amerikaanse moederbedrijven om op dergelijke verzoeken geen gehoor te geven, en zich daarbij te verdedigen dat dat in strijd is met Europese regelgeving die van toepassing is op hun activiteiten in Europa.
Als bovenstaande dus wel zou mogen, zijn al die contracten een wassen neus?
Zoals je je verplichtingen formuleert klopt het trouwens niet. Je bent niet verplicht om contracten af te sluiten met die leveranciers dat ze persoonsgegevens in de EU opslaan, je mag je gegevensverwerking namelijk ook zelf doen. Maar als je het bij anderen onderbrengt dan blijf je er toch zelf verantwoordelijk voor en onderdeel van die verantwoordelijkheid is dat je de juiste afspraken met die leveranciers in contracten vastlegt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.