Wie privacygevoelige gegevens in de cloud wil stoppen, is het vast eens tegengekomen: het argument “pas op, dat mag niet, want de Patriot Act laat de FBI zomaar grasduinen in die data”. Waarom en hoe dat precies werkt, is echter moeilijk te vinden. Ik ben er eens ingedoken maar werd er niet veel wijzer van.
Volgens Europese privacywetgeving moet een partij die persoonsgegevens (namen, adressen en andere tot personen herleidbare informatie) opslaat of verwerkt, zorgen voor adequate beveiliging daarvan. Ook moet men zorgen dat de gegevens binnen de EU blijven. Export naar andere landen mag alleen als dat land een “passend beschermingsniveau” waarborgt.
Wat precies “passend” is, staat niet in de wet, maar dat de VS het niet heeft, is algemeen aanvaard. Zie bijvoorbeeld deze Brein-zaak uit 2005, die afknapte op het gebruik van een Amerikaans recherchebureau.
Een Amerikaans bedrijf kan dit probleem oplossen door zich bij het zogeheten Safe Harbor-framework aan te sluiten. Alleen dan mogen persoonsgegevens vanuit de EU naar dit bedrijf worden gegeven (controleer dus of ze op deze lijst staan). Zo staan Amazon, Google en Rackspace op de lijst zodat ze in principe dus ‘veilig’ zijn. Zij beloven zich aan de strenge Europese regels te conformeren. Of toch niet?
De Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001 oftewel de Patriot Act is in reactie op 9/11 aangenomen om informatie te vergaren over en op te treden in geval van mogelijk terrorisme. De mogelijkheden voor opsporings- en inlichtingendiensten werden sterk verbreed. Zo mag de FBI bij een vermoeden van terrorisme mensen aftappen zonder een gerechtelijk bevel en kan men veel informatie opvragen bij internetdienstverleners, met vrijwel geen toezicht door de rechter.
Met de Patriot Act in de hand kan de FBI dus ook bij een Amerikaanse cloudaanbieder aankloppen en gegevens opeisen. Ook wanneer het gaat om data die van een Europese klant is verkregen en die onder het Safe Harbor-framework valt.
Natuurlijk kent ook Europese privacywetgeving een mogelijkheid voor afgifte van persoonsgegevens aan de bevoegde autoriteiten. Maar daar zitten de nodige waarborgen aan, zoals dat een rechter moet bepalen dat de afgifte plaats moet vinden. In de VS geldt dat in principe ook (het staat zelfs in de Grondwet), maar specifiek in het kader van antiterrorisme mag er veel meer. Met name mag een rechter zo’n bevel afgeven zonder de wederpartij te horen.
Een NSL wordt niet alleen gebruikt in een concreet onderzoek naar een verdachte van terroristische activiteiten, maar ook bij wijze van algemeen middel van informatievergaring. De New York Times meldde hierover:De meest controversiële bepaling is de National Security Letter, een bevel van de FBI om data af te geven omdat dat voor de staatsveiligheid relevant zou zijn. Een dergelijk bevel wordt niet bij de rechter getoetst. Ook mag de ontvanger van het bevel niet onthullen dat hij het heeft gekregen – een gag order.
In many cases, the target of a national security letter whose records are being sought is not necessarily the actual subject of a terrorism investigation and may not be suspected at all. Under the USA PATRIOT Act, the F.B.I. must assert only that the records gathered through the letter are considered relevant to a terrorism investigation.
Minstens zo opmerkelijk is de conclusie die diverse Amerikaanse bedrijven – waaronder Microsoft – trokken: zij moeten ook data opgeslagen in Europa aan de FBI geven als die zich op de Patriot Act beroept. Het bedrijf schrijft immers:
As a general rule, customer data will not be transferred to datacenters outside that region. There are, however, some limited circumstances where customer data might be accessed by Microsoft personnel or subcontractors from outside the specified region (e.g., for technical support, troubleshooting, or in response to a valid legal subpoena).
Dit kun je maar op één manier lezen: als de FBI het vraagt, wordt er data vanuit Europa opgestuurd naar de Amerikaanse federale politie.
De grote vraag is nu: doet men dit ook werkelijk, of loopt iedereen zich zorgen te maken over een theoretisch probleem? Het indekken in algemene voorwaarden is bijvoorbeeld geen bewijs dat men werkelijk met een probleem zit. Het is goed denkbaar dat iedereen dit doet om zichzelf te beschermen voor het geval dat het een keer gaat gebeuren. En dat je vervolgens draait en vage antwoorden geeft, kan ook bewijs zijn dat je net als iedereen niet exact weet wat die wet eist.
De Washington Post meldde dat tussen 2003 en 2006 de FBI 192.499 van deze bevelen uitgaf. Nadat in 2007 de gag order ongrondwettig werd verklaard, zouden de aantallen wat gedaald zijn maar recentere cijfers kan ik niet vinden. Ook is nergens uitgesplitst hoe vaak er aan internetproviders of clouddienstverleners is bevolen data af te geven.
Verder dan dit kom ik niet. Ik weet dat er veel geschreven is, maar verder dan “dit kan een probleem zijn” en “kijk uit” kom ik niet. Wie weet er meer?
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.