Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Waarom is de Patriot Act nou eigenlijk een probleem voor cloudgebruikers?

17 oktober 2011 Door

Wie privacygevoelige gegevens in de cloud wil stoppen, is het vast eens tegengekomen: het argument “pas op, dat mag niet, want de Patriot Act laat de FBI zomaar grasduinen in die data”. Waarom en hoe dat precies werkt, is echter moeilijk te vinden. Ik ben er eens ingedoken maar werd er niet veel wijzer van.

Volgens Europese privacywetgeving moet een partij die persoonsgegevens (namen, adressen en andere tot personen herleidbare informatie) opslaat of verwerkt, zorgen voor adequate beveiliging daarvan. Ook moet men zorgen dat de gegevens binnen de EU blijven. Export naar andere landen mag alleen als dat land een “passend beschermingsniveau” waarborgt.

Wat precies “passend” is, staat niet in de wet, maar dat de VS het niet heeft, is algemeen aanvaard. Zie bijvoorbeeld deze Brein-zaak uit 2005, die afknapte op het gebruik van een Amerikaans recherchebureau.

Een Amerikaans bedrijf kan dit probleem oplossen door zich bij het zogeheten Safe Harbor-framework aan te sluiten. Alleen dan mogen persoonsgegevens vanuit de EU naar dit bedrijf worden gegeven (controleer dus of ze op deze lijst staan). Zo staan Amazon, Google en Rackspace op de lijst zodat ze in principe dus ‘veilig’ zijn. Zij beloven zich aan de strenge Europese regels te conformeren. Of toch niet?

De Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001 oftewel de Patriot Act is in reactie op 9/11 aangenomen om informatie te vergaren over en op te treden in geval van mogelijk terrorisme. De mogelijkheden voor opsporings- en inlichtingendiensten werden sterk verbreed. Zo mag de FBI bij een vermoeden van terrorisme mensen aftappen zonder een gerechtelijk bevel en kan men veel informatie opvragen bij internetdienstverleners, met vrijwel geen toezicht door de rechter.

Met de Patriot Act in de hand kan de FBI dus ook bij een Amerikaanse cloudaanbieder aankloppen en gegevens opeisen. Ook wanneer het gaat om data die van een Europese klant is verkregen en die onder het Safe Harbor-framework valt.

Natuurlijk kent ook Europese privacywetgeving een mogelijkheid voor afgifte van persoonsgegevens aan de bevoegde autoriteiten. Maar daar zitten de nodige waarborgen aan, zoals dat een rechter moet bepalen dat de afgifte plaats moet vinden. In de VS geldt dat in principe ook (het staat zelfs in de Grondwet), maar specifiek in het kader van antiterrorisme mag er veel meer. Met name mag een rechter zo’n bevel afgeven zonder de wederpartij te horen.

Een NSL wordt niet alleen gebruikt in een concreet onderzoek naar een verdachte van terroristische activiteiten, maar ook bij wijze van algemeen middel van informatievergaring. De New York Times meldde hierover:De meest controversiële bepaling is de National Security Letter, een bevel van de FBI om data af te geven omdat dat voor de staatsveiligheid relevant zou zijn. Een dergelijk bevel wordt niet bij de rechter getoetst. Ook mag de ontvanger van het bevel niet onthullen dat hij het heeft gekregen – een gag order.

In many cases, the target of a national security letter whose records are being sought is not necessarily the actual subject of a terrorism investigation and may not be suspected at all. Under the USA PATRIOT Act, the F.B.I. must assert only that the records gathered through the letter are considered relevant to a terrorism investigation.

Minstens zo opmerkelijk is de conclusie die diverse Amerikaanse bedrijven – waaronder Microsoft – trokken: zij moeten ook data opgeslagen in Europa aan de FBI geven als die zich op de Patriot Act beroept. Het bedrijf schrijft immers:

As a general rule, customer data will not be transferred to datacenters outside that region. There are, however, some limited circumstances where customer data might be accessed by Microsoft personnel or subcontractors from outside the specified region (e.g., for technical support, troubleshooting, or in response to a valid legal subpoena).

Dit kun je maar op één manier lezen: als de FBI het vraagt, wordt er data vanuit Europa opgestuurd naar de Amerikaanse federale politie.

De grote vraag is nu: doet men dit ook werkelijk, of loopt iedereen zich zorgen te maken over een theoretisch probleem? Het indekken in algemene voorwaarden is bijvoorbeeld geen bewijs dat men werkelijk met een probleem zit. Het is goed denkbaar dat iedereen dit doet om zichzelf te beschermen voor het geval dat het een keer gaat gebeuren. En dat je vervolgens draait en vage antwoorden geeft, kan ook bewijs zijn dat je net als iedereen niet exact weet wat die wet eist.

De Washington Post meldde dat tussen 2003 en 2006 de FBI 192.499 van deze bevelen uitgaf. Nadat in 2007 de gag order ongrondwettig werd verklaard, zouden de aantallen wat gedaald zijn maar recentere cijfers kan ik niet vinden. Ook is nergens uitgesplitst hoe vaak er aan internetproviders of clouddienstverleners is bevolen data af te geven.

Verder dan dit kom ik niet. Ik weet dat er veel geschreven is, maar verder dan “dit kan een probleem zijn” en “kijk uit” kom ik niet. Wie weet er meer?

Arnoud Engelfriet

Algemeen directeur / Opleidingsdirecteur

Arnoud Engelfriet is algemeen directeur en opleidingsdirecteur bij ICTRecht. Hij is gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Met zijn informatica-achtergrond richt hij zich graag op complexe technisch/juridisch ICT-vraagstukken en softwarelicenties (met name open source). Zijn website Ius mentis is één van de populairste van Nederland over ICT en recht.


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie