Een rechter in Californië heeft besloten dat Google, in het kader van een strafrechtelijk onderzoek, persoonsgegevens (uit e-mailaccounts) af moet staan die op een server zijn opgeslagen buiten de VS (District Court, Northern District of California, zaak nr. 16-mc-80263-LB). Dat meldt Tweakers. In een eerdere zaak met betrekking tot Microsoft hoefde dat laatste bedrijf geen e-mailgegevens aan te leveren van een gebruiker wiens gegevens op een Microsoft-server in Ierland stonden. Vanwaar dit verschil?
In de Microsoft-zaak waren de data om een andere reden buiten de VS opgeslagen, het ging namelijk om een Europese klant. Gebruikers van de e-maildiensten van Microsoft geven hun locatie op, en aan de hand daarvan wordt bepaald waar hun gegevens terecht moeten komen. Dit was dus een bewuste keuze. In de Google-zaak, daarentegen, waren de data om efficiëntieredenen buiten de VS opgeslagen. Voor het opslaan van de enorme hoeveelheden gegevens die Google verwerkt, is veel capaciteit nodig. Google heeft datacentra over de gehele wereld, en afhankelijk van waar er behoefte is aan opslagruimte en rekenkracht, bepaalt een algoritme waar gegevens worden opgeslagen.
Delen van hetzelfde bestand kunnen zich zelfs in verschillende landen bevinden, en data kunnen automatisch worden verplaatst, zelfs tijdens de duur van een juridische procedure. Dit werkt dus anders dan een systeem waarbij de (opgegeven locatie van de) klant bepaalt waar data worden gehuisvest. Volgens de rechter zou het in deze situatie bij het beoordelen van het opvragen van de gegevens niet moeten uitmaken waar deze (automatisch) zijn opgeslagen, omdat anders sprake zou zijn van een zekere willekeur.
De vraag is of het niet eveneens willekeurig is dat gegevens wél kunnen worden opgevraagd, ongeacht over waar ze zijn opgeslagen en wie de betrokkenen zijn, zolang het opvragen en inzien maar gebeurt in de VS. De Stored Communications Act is van toepassing. Die wet geeft niet expliciet aan dat deze toegepast moet worden op situaties buiten de VS, en Amerikaanse rechters veronderstellen dan dat de wet is opgesteld om alleen op situaties in de VS van toepassing te zijn. Vervolgens legt de rechter uit dat de VS momenteel de enige plaats zijn waar de data opgevraagd en ingezien kunnen worden. Er hoeft dus niet verder onderzocht te worden of het Amerikaanse recht wel mag worden toegepast op het opvragen van de gegevens, en of er mogelijk een conflict is met buitenlandse wetgeving.
Een korte redenering over privacy wordt nog gegeven: voor het opvragen van de gegevens in een strafrechtelijk onderzoek is een rechterlijke machtiging nodig, en het feit dat deze aanwezig was, beschermt de privacy al genoeg. Bij een dergelijke machtiging wordt namelijk al gekeken of sprake is van een redelijke verdenking. Het is, wanneer deze redenering wordt aangehouden, wel van belang dat in dergelijke machtigingen goed wordt beredeneerd waarom het opvragen van de gegevens noodzakelijk is. Zeker wanneer het gaat om (mogelijk) bewijs dat iemand een strafbaar feit heeft gepleegd, zijn goede waarborgen hiervoor belangrijk.
Uit de uitspraak blijkt niet of de opgevraagde gegevens betrekking hadden op Amerikanen of (daarnaast) personen met een andere nationaliteit. Het is daarom nog niet zeker of in gevallen waarin vaststaat dat gegevens betrekking hebben op mensen met een andere nationaliteit dan die van de VS, ook een verplichting bestaat voor bedrijven als Google om bijvoorbeeld e-mailaccountgegevens af te geven. Ook gaat het hier om een ‘district court’ en bestaat de mogelijkheid dat andere/‘hogere’ rechters anders oordelen in vergelijkbare zaken. Daardoor zullen we moeten afwachten in hoeverre deze uitspraak iets verandert aan de eerdere zaak over Microsoft en e-mailgegevens opgeslagen in Ierland.
Fotocredit: Unsplash - Pixabay CC0
Meer weten over onze privacyadviezen & -diensten?
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.