Print:

Amerikaanse Cloud Act: impact voor Europese IT-gebruikers?

Peter van Schelven , Adviseur ICT & Recht

LinkedIn profiel

Vorig jaar – op 23 maart – heeft Donald Trump zijn handtekening gezet onder de zogeheten Cloud Act.  Met één pennenstreek maakte de president van de Verenigde Staten daarmee een lopende rechtszaak tussen Microsoft en de Amerikaanse justitie volledig zinloos. Die Cloud Act vormde de directe aanleiding voor Microsoft om een einde te maken aan die rechtszaak, waarin het IT-bedrijf bij de Supreme Court, het hoogste Amerikaanse rechtscollege, opkwam voor de privacybelangen van haar Europese klanten.

Waar ging het in die rechtszaak om? Stel, je gebruikt Outlook van Microsoft en jouw e-mailberichten zijn opgeslagen in het datacenter van Microsoft in Ierland. Binnen Europa dus. Kunnen Amerikaanse opsporingsinstanties (zoals de FBI) het Amerikaanse hoofdkantoor van Microsoft in Redmond, Washington opdragen en dwingen om die e-mailberichten over te dragen ten behoeve van een Amerikaans justitieel onderzoek? Die vraag stond centraal in de desbetreffende rechterlijke procedure in de Verenigde Staten. Tot een einduitspraak is het vanwege de komst van de Cloud Act in die kwestie niet gekomen.

Microsoft heeft zich voorheen steeds met hand en tand verzet tegen een dergelijke aantasting van de privacy van hun Europese klanten. Al eerder was Microsoft in eerdere, soortgelijke rechtszaken opgekomen voor de burgers in Europa, steeds met succes. De Amerikaanse justitie trok ook in al die eerdere kwesties bij de Amerikaanse rechter aan het kortste eind.

Knel tussen de Amerikaanse overheid en de Europese AVG

Het belang voor Microsoft voor de gekozen opstelling was vanzelfsprekend groot. Het IT-bedrijf wilde met de procedure immers voorkomen knel te komen zitten tussen een Amerikaans bevel van opsporingsautoriteiten enerzijds en de Europese wetgeving inzake dataprotectie – de Algemene Verordening Gegevensbescherming – anderzijds. De AVG verbiedt in beginsel dat persoonsgegevens naar de Verenigde Staten worden overgedragen.

Met de komst van de Cloud Act zijn nagenoeg alle denkbare juridische verweren die Microsoft kon opwerpen, haar uit handen geslagen. Voor de rechtspositie van burgers in Europa is deze Amerikaanse wet dus een forse stap achteruit. De Cloud Act staat immers op gespannen voet met het Europese privacyrecht. Het spreekt dan ook voor zich dat de wet inmiddels veel tongen in Europa heeft los gemaakt. Onlangs nog heeft de Nederlandse minister van Justitie en Veiligheid in ons land tekst en uitleg aan de Tweede Kamer gegeven over impact van de Cloud Act. Het laatste woord is er zeker nog niet over gezegd. Duidelijk is inmiddels ook wel dat het tussen de Verenigde Staten en Europa sinds 1 augustus 2016 bestaande Privacy Shield, afspraken over grensoverschrijdende data-overdracht, niets aan de verslechterde positie van de Europese burgers verandert.

De lange arm van de Amerikaanse justitie

De afkorting Cloud Act staat voor ‘Clarifying Lawful Overseas Use of Data Act’. In die titel ligt al besloten dat de Amerikaanse overheid grip wil hebben op de dataverwerking in overzeese landen. Een hoofdregel van de wet is dat de Amerikaanse justitie persoonsgegevens die bij Microsoft in Ierland zijn opgeslagen via het Amerikaanse hoofdkantoor van het IT-bedrijf kan opvorderen. De Cloud Act legt Amerikaanse providers (‘provider of electronic communication service or remote computing service’) de verplichting op om data van burgers desgevraagd aan autoriteiten over te dragen, ongeacht of die data binnen of buiten de Verenigde Staten zijn opgeslagen. Je ziet: de arm van de Amerikaanse justitie strekt zich uit tot buiten de landsgrenzen van de VS. Uiteraard gelden de verplichtingen onder de Cloud Act niet alleen voor Microsoft maar ook voor alle andere Amerikaanse Cloud-providers met een datacenter in Europa.

Rechtsbescherming in de Cloud?

Heb je als Europees bedrijf of Europese burger dan wel enige rechtsbescherming tegen dergelijke Amerikaanse claims op data die zich in Europa bevinden? Die rechtsbescherming is onder de Cloud Act nagenoeg volledig uitgekleed. Een Amerikaanse rechter kan volgens de Cloud Act immers pas enige bescherming aan bedrijven en burgers uit Europa geven als er nieuwe internationale afspraken in de vorm van een verdrag tussen de VS en andere landen (of de Europese Unie) bestaan. Zolang een dergelijk verdrag er nog niet is, sta je nagenoeg met lege handen.

De Nederlandse regering stuurt zelf niet aan op dergelijke internationale afspraken, zo heeft onze Minister van Justitie en Veiligheid onlangs gezegd. Nederland laat de noodzakelijke stappen voor een verdrag met de Verenigde Staten over aan Europa. Het is nu dus wachten met welke concrete acties de Europese Unie op de Cloud Act gaat reageren. De tijd zal het leren. Voorlopig blijft de Cloud Act nog een bittere pil voor Europeanen….

Deze en andere ontwikkelingen komen uitgebreid aan bod tijdens de Module ICT contacten van de 10-daagse Leergang ICT-jurist onder leiding van hoofddocent Peter van Schelven.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure van de opleiding Leergang IT-jurist direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten