Veel van de clouddiensten die we tegenwoordig dagelijks gebruiken hebben hun hoofdvestiging in de Verenigde Staten. Denk alleen al aan Microsoft, Google en Facebook, die enorme hoeveelheden persoonsgegevens verwerken. Ook bij het onderzoek in strafzaken kunnen deze bedrijven informatie bezitten die waardevol is voor de opsporingsautoriteiten. Digitale data trekt zich niets aan van landsgrenzen en wordt zeer gemakkelijk naar elders in de wereld verplaatst. Dit terwijl de bevoegdheden van opsporingsautoriteiten veelal gebaseerd zijn op het nationale grondgebied. Dit kan tot onduidelijkheid leiden: moet de Europese vestiging van een Amerikaans bedrijf persoonsgegevens afstaan als de Amerikaanse overheid dit vordert, omdat dit nodig is voor de opsporing van een strafbaar feit?
Omdat het om gevoelige gegevens gaat – iemands mogelijke betrokkenheid bij een strafbaar feit – en vanwege de nationale belangen die ieder land wil beschermen, zijn dergelijke kwesties ook in de rechtszaal aan de orde gekomen. Zo wilden de Amerikaanse opsporingsautoriteiten toegang tot gegevens die stonden opgeslagen bij een server van Microsoft in Ierland. Microsoft weigerde dit, omdat dit in strijd met Europese privacywetgeving zou zijn. De zaak lag voor bij het Amerikaanse Hooggerechtshof (Supreme Court), maar dit rechtscollege heeft uiteindelijk geen uitspraak gedaan vanwege nieuw aangenomen wetgeving, de CLOUD Act, die hieronder aan de orde komt. Google heeft te maken gehad met een vergelijkbaar vraagstuk.
De Microsoft-zaak riep bezorgdheid op bij de EU-wetgever. In de Algemene Verordening Gegevensbescherming (AVG) is daarom in artikel 48 opgenomen dat het verstrekken van persoonsgegevens aan een overheidsinstantie van een niet-EU-land in principe verboden is, tenzij dit gebaseerd is op een internationale overeenkomst (verdrag). Nu is er in de VS dus wetgeving die het mogelijk zou moeten maken dat persoonsgegevens rechtstreeks worden opgevraagd, zonder rechtshulpverzoek. Hierbij zijn echter een aantal belangrijke kanttekeningen te plaatsen.
De nieuwe wet, met de mooie naam ‘Clarifying Lawful Overseas Use of Data Act’ (toepasselijk afgekort tot CLOUD Act), is sinds 23 maart 2018 van toepassing in de VS. Deze wet regelt de toegang tot elektronisch bewijs in strafzaken. Amerikaanse autoriteiten kunnen bij Amerikaanse clouddienstverleners gegevens vorderen die in een ander land zijn opgeslagen, bijvoorbeeld de inhoud van e-mails, documenten, foto’s en video’s. Er zijn uiteraard de nodige strafrechtelijke waarborgen: er is bevel vereist van een Amerikaanse rechter, gebaseerd op de gerechtvaardigde verwachting dat bewijs voor het opsporingsonderzoek wordt gevonden (de ‘probable cause’). Een informatievordering kan echter worden aangevochten door gebruik te maken van zogeheten ‘comity rights’. Het is de Amerikaanse rechter die dan een belangenafweging maakt – en uiteindelijk beslist of de AVG voor dient te gaan, of de Amerikaanse wet. Overigens is nog niet bekend of de AVG in zo’n geval snel opzij zal worden gezet. Mocht de rechter beslissen dat de AVG in een bepaald geval aan de kant dient te worden geschoven, dan heeft het betreffende bedrijf (bijvoorbeeld de Ierse vestiging van Microsoft) een probleem. Als het de gegevens wel afstaat, schendt het de AVG – en als het dit niet doet, overtreedt het de Amerikaanse wet.
De CLOUD Act biedt echter nog een andere mogelijke oplossing, die op het eerste gezicht eerlijker lijkt. Het biedt namelijk de mogelijkheid voor andere landen (of organisaties zoals de EU) om een verdrag te sluiten met de VS over de grensoverschrijdende toegang tot elektronisch bewijs. Daarin staat dan hoe autoriteiten van dat land bij in de VS gevestigde bedrijven direct elektronisch bewijs kunnen vorderen. Dit is mogelijk wanneer aan bepaalde voorwaarden is voldaan, onder andere dat het betreffende land strikte privacybescherming hanteert. Gezien de striktheid van de AVG lijkt mij dit voor de EU(-landen) geen probleem. Ten aanzien van de omgekeerde situatie, dus dat een Amerikaans bedrijf een informatievordering krijgt van een overheidsinstantie buiten de VS, worden strenge eisen gesteld. Onder andere dat bevelen als doel moeten hebben informatie te krijgen inzake een ernstig misdrijf, waaronder terrorisme. Bevelen moeten een specifiek persoon identificeren, en bevelen inzake een Amerikaans persoon zijn aan nadere voorwaarden verbonden.
Kanttekening is dat bedrijven van buiten de VS, ook wanneer er een dergelijk verdrag is, slechts in beperkte gevallen een beroep kunnen doen op de comity-procedure in de zin van de CLOUD Act. Dit is mogelijk wanneer (i) het verzoek informatie betreft over een persoon die geen VS-onderdaan is en ook niet verblijft in de VS en (ii) als er een feitelijk risico is dat voor de verstrekking een conflict zou ontstaan met de wetgeving van het andere land (zoals de AVG). Echter, een dergelijk verdrag kan (afhankelijk van de inhoud ervan) als overeenkomst gelden in de zin van artikel 48 AVG, waardoor de doorgifte wel toegestaan kan zijn als er een bevoegd gegeven bevel is tot afgifte van de gegevens.
In een brief van minister Grapperhaus (Justitie en Veiligheid) aan de Tweede Kamer, op 5 oktober 2018, wordt duidelijk gemaakt dat de CLOUD Act geen afbreuk doet aan de zogenaamde ‘Common law comity principles’. Bedrijven hoeven dan geen gegevens af te staan als zij te goeder trouw zijn en er door het voldoen aan de Amerikaanse verplichting een feitelijke kans bestaat dat er zware sancties volgen vanwege het overtreden van een conflicterende wettelijke verplichting in een ander land (zoals de AVG). Of bedrijven hiervan veel gebruik zullen maken is nog onduidelijk, maar mijn verwachting is dat dit wel zal gebeuren.
Volgens de minister heeft het de voorkeur dat er een verdrag gesloten wordt tussen de EU en de VS, op grond van de CLOUD Act, om nadere afspraken te maken over de wederzijdse gegevensvorderingen. Dit onderwerp zal in de Raad van de Europese Unie aan de orde komen, en mogelijk beginnen de onderhandelingen over een dergelijk verdrag in januari 2019. Het is te hopen dat er op dit gebied zo spoedig mogelijk duidelijkheid komt. De Europese Commissie heeft daarnaast voorstellen ingediend voor een verordening en een richtlijn die de grensoverschrijdende toegang tot bewijs voor opsporingsautoriteiten in de EU moeten regelen.
Doordat het doorgeven van gegevens aan de VS (en andere niet-EU-landen) juridisch gezien wat ingewikkelder is geworden, vragen bedrijven zich af of dit nog wel is toegestaan. Dit is vaak prima mogelijk, maar let wel op de randvoorwaarden zoals Privacy Shield en/of het sluiten van een EU-modelcontract.
Zolang er nog geen specifiek verdrag met de VS is gesloten over de rechtstreekse vordering van persoonsgegevens bij een bedrijf in de EU, zonder rechtshulpverzoek, is het op grond van de AVG niet toegestaan voor een EU-bedrijf om aan een dergelijk verzoek gehoor te geven. Mogelijk oordeelt een rechter in de VS anders, na een belangenafweging gemaakt te hebben. Dat leidt dan tot onduidelijkheid over wat dient te gebeuren in deze situatie. Een nader verdrag, of de zogenaamde ‘common law comity principles’ kunnen uitkomst bieden; het is echter nog afwachten in hoeverre hiervan in de praktijk gebruik van zal worden gemaakt.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.