CLOUD Act
Op 23 maart 2018 heeft president Trump een uitvoerige, 2.201 pagina’s tellende, financieringswet ondertekend. Onderdeel van deze wet, en min of meer daarin weggemoffeld, vormde een andere wet, de zogenoemde Clarifying Lawful Overseas Use of Data Act, ook wel genoemd: CLOUD Act.
Met de ondertekening van de financieringswet, werd ook de CLOUD Act verheven tot wet.
De CLOUD Act behelst een aanpassing van de US Code, Titel 18, Hoofdstuk 121 daarvan. Ook wel de Stored Communications Act (SCA) genoemd. De CLOUD Act voegt een nieuwe paragraaf toe aan de SCA, paragraaf 2713.
Onderwerp van de nieuwe regeling: de verplichting voor Amerikaanse providers om data van betrokkenen af te staan, waar ook ter wereld gelokaliseerd. En, niet alleen op verzoek van de Amerikaanse overheid, maar onder voorwaarden ook op verzoek van andere landen.
Doel van de nieuwe regeling is om sneller en gemakkelijker toegang te krijgen tot data, ter bestrijding van criminaliteit en terrorisme, in een steeds sneller veranderende en daarmee ingewikkelder wordende communicatie-wereld.
De Amerikaanse wetgeving op dit gebied (SCA) werd als te verouderd en te omslachtig ervaren.
Ook de afhandeling van Amerikaanse verzoeken om openbaarmaking van data door derde-landen, werd als te omslachtig gezien. Dergelijke verzoeken moeten afgehandeld worden middels bilaterale verdragen (Mutual Legal Assistance Treaty: MLAT) en dat neemt vaak veel tijd in beslag.
De CLOUD Act heeft zowel voorstanders als tegenstanders.
Tot de eerste categorie behoren, misschien niet verbazingwekkend, ook de grote Amerikaanse technologiebedrijven, zoals Microsoft, Google, Facebook, Apple en Oath.
Volgens deze bedrijven schept de nieuwe wet duidelijkheid terwijl de rechten van betrokkenen op voldoende wijze worden veilig gesteld.
Tegenstanders wijzen juist op de teloorgang van privacy. Zij wijzen daarbij op het feit dat onder de CLOUD Act, anders dan via een MLAT, data openbaar gemaakt wordt zonder de tussenkomst van een rechterlijke instantie.
AVG/GDPR
Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG), ook wel General Data Protection Regulation (GDPR) genoemd, van toepassing binnen de Europese Unie (EU). Vanaf dat moment gelden dezelfde privacy-regels binnen alle lidstaten.
Artikel 48 AVG bepaalt dat afgifte van data die zich binnen de EU bevindt, op last van een (buitenlandse) rechtelijke uitspraak of besluit van een administratieve autoriteit, alleen is toegestaan indien die uitspraak of dat besluit gebaseerd is op een (bilateraal) verdrag. Een MLAT kwalificeert als zodanig.
Indien zich geen van de uitzonderingsgevallen van de artikelen 45, 46 en 49 AVG voordoen, kan bij gebreke van een betreffend verdrag, derhalve geen gehoor worden gegeven aan een verplichting tot openbaarmaking van data, op grond van een rechtelijke uitspraak of een besluit, van een derde-land.
United States v. Microsoft
In deze gerechtelijke procedure, die thans door het US Supreme Court wordt behandeld, staat centraal de vraag of een op de (tot 23 maart 2018 geldende en verouderde) Stored Communications Act (SCA) gebaseerde rechterlijke uitspraak Microsoft kan dwingen om data af te staan aan Amerikaanse autoriteiten die zij in Ierland heeft opgeslagen.
De Europese Commissie heeft op 7 december 2017 een brief gestuurd naar het Supreme Court omdat zij van mening is dat overdracht door Microsoft aan Amerika van data die zij in Ierland heeft opgeslagen, valt onder de werking van de AVG/GDPR.
Allereerst wijst de Commissie op de werking van artikel 48 AVG.
Dat brengt de Commissie tot de conclusie dat een uitspraak van de Amerikaanse rechter, op zichzelf geen valide reden kan zijn voor data-overdracht. Daaraan moet in elk geval een relevant verdrag ten grondslag liggen. Een MLAT dus.
Aangezien zowel een MLAT tussen Amerika en de Europese Unie, als tussen Amerika en Ierland van kracht is, dient aldus de Commissie iedere data-overdracht in het kader van onderhavige procedure, te voldoen aan de (procedurele) vereisten van het betreffende verdrag.
Verder wijst de commissie erop dat zij ervan uitgaat dat geen van de grondslagen van de artikelen 45 en 46 AVG van toepassing zijn.
Blijft, naar de mening van de commissie, over de uitzonderingsbepaling van artikel 49 AVG, naast de bepalingen uit artikel 48 AVG. Artikel 49 AVG biedt, aldus de commissie twee mogelijke opties:
- Artikel 49 lid 1 sub d; doorgifte (van data) is noodzakelijk wegens gewichtige redenen van algemeen belang (het bestrijden van ernstige criminaliteit valt daaronder), en;
- Artikel 49 lid 1, slot; doorgifte is noodzakelijk voor dwingende gerechtvaardigde belangen van, in dit geval Microsoft, tenzij de belangen of rechten en vrijheden van de betrokkene voor dienen te gaan (het belang van Microsoft om niet in Amerika vervolgd te worden doordat zij geen gehoor zou geven aan de Amerikaanse uitspraak die tot afgifte van de data verplicht, zou onder deze bepaling kunnen vallen).
Echter, zo wijst de commissie er uitdrukkelijk op, artikel 49 AVG dient strikt te worden uitgelegd.
Het probleem, na 23 maart 2018, is nu als volgt.
Met het van kracht worden van de CLOUD Act is de rol van verdragen (MLAT) uitgespeeld. Artikel 48 AVG kan mitsdien geen toepassing meer vinden.
Blijft over artikel 49 AVG, lid 1 sub d en lid 1 slot.
In beide gevallen dient een afweging van belangen gemaakt te worden. De CLOUD Act biedt evenwel geen ruimte voor een dergelijke belangenafweging.
Is er dan geen enkele remedie voor de Amerikaanse provider die onder de CLOUD Act geconfronteerd wordt met een gerechtelijke uitspraak c.q. beslissing op grond waarvan hij verplicht wordt om data vrij te geven die in een ander land (lees: de EU) is gelokaliseerd?
Toch wel, de CLOUD Act biedt hem de mogelijkheid om een beroep te doen op vernietiging (“Quash”) of wijziging (“Modify”) van de gerechtelijke uitspraak c.q. de beslissing in kwestie. Maar, daarvoor moet de provider twee omstandigheden stellen en, zo nodig, bewijzen.
Ten eerste zou het dan moeten gaan om een persoon die de Amerikaanse nationaliteit niet heeft en die bovendien niet in Amerika woonachtig is.
Ten tweede zou het openbaar maken van de data in strijd moeten zijn met de wetgeving van een zogenoemde “Qualifying Foreign Government”. Niet dus iedere buitenlandse staat, maar alleen een “Qualifying” buitenlandse staat.
Wat wordt verstaan onder een “Qualifying Foreign Government” is bepaald in de CLOUD Act zelf.
Ten eerste moet het gaan om een buitenlandse entiteit, waarmee Amerika een zogenoemd “Executive Agreement” heeft gesloten, dat in werking is getreden onder de bepalingen van de bij de CLOUD Act nieuw opgestelde paragraaf 2523.
En ten tweede moet die buitenlandse entiteit providers dezelfde rechten bieden als nader omschreven in de CLOUD Act.
De EU, maar ook haar lid-staten, hebben (nog) geen Executive Agreement met Amerika en voorzien ook niet in dezelfde waarborgen voor providers, als in de CLOUD Act.
Dat betekent dat Amerikaanse providers, die geconfronteerd worden met een beslissing dat zij data moeten openbaren die zich in de EU bevinden, geen mogelijkheid hebben om die beslissing aan te vechten. Zij zullen daaraan, onder Amerikaans recht, derhalve moeten voldoen.
Tegelijkertijd betekent voldoening aan zo’n beslissing ook dat de provider in kwestie in strijd handelt met zijn verplichtingen onder de AVG/GDPR en daardoor zeer hoge boetes riskeert.
Het Supreme Court ziet zich nu dus geconfronteerd met nieuwe wetgeving, die weinig tot geen ruimte meer biedt voor een belangenafweging in deze Microsoft-zaak.
Het Amerikaanse ministerie van justitie heeft bij brief van 23 maart 2018 het Supreme Court er dan ook op gewezen dat de bevoegdheid van de rechters in deze zaak, met de bepalingen van de CLOUD Act, thans uitdrukkelijk ter discussie wordt gesteld.
Conclusie
Hoe het nu verder moet? Op dit moment weet men dat niet.
Het zou kunnen dat de EU c.q. haar lid-staten in aanmerking willen komen voor de status van “Qualifying Foreign Government”. Maar, of daarmee alle problemen die gesignaleerd worden in verband met de CLOUD Act worden opgelost, valt te bezien.
En, wat de CLOUD Act betekent voor het zogenoemde EU-US Privacy Shield, moeten wij ook nog maar afwachten.
Zo is het niet ondenkbaar dat Amerikaanse providers (op termijn) dataopslag zullen gaan verhuizen naar landen die niet te maken hebben met de AVG/GDPR.
Het Privacy Shield zou, als gevolg daarvan, onder druk kunnen komen te staan.
Vast staat dat de CLOUD Act op dit moment althans, voor veel verwarring en onzekerheid zorgt.
