De Amerikaanse CLOUD-Act: wat betekent dat voor Privacy in de Europese Unie?

/in /door

Op 23 maart 2018 ondertekende President Trump de ’Clarifying Overseas Use of Data act’ (CLOUD-Act). Het gevolg van de CLOUD-Act is dat een Europese (cloud service)provider of communicatiedienstverlener (hierna: Europese provider) moet voldoen aan een verzoek van de Amerikaanse overheid om gegevens over te dragen, zelfs als deze gegevens zich buiten de VS bevinden. In dit blog behandelen we kort de inhoud en de gevolgen van de CLOUD-Act.

Wat is de CLOUD-Act?
De CLOUD-Act is een federale wet van de Verenigde Staten die in feite neerkomt op een uitbreiding van de huidige Amerikaanse dataretentiewet, de zogenoemde ‘Stored Communications Act’ uit 1986. De CLOUD-Act geeft de Amerikaanse overheid de bevoegdheid om via een bevelschrift of dagvaarding providers te dwingen persoonsgegevens over te dragen, ongeacht waar deze persoonsgegevens zich bevinden. Daarnaast maakt de CLOUD-act het ook mogelijk om bilaterale afspraken te maken tussen de VS en andere landen om persoonsgegevens uit te wisselen in het kader van opsporing.

De CLOUD-Act is geïntroduceerd nadat de FBI problemen ondervond bij het verkrijgen van persoonsgegevens vanuit Ierland. In deze zaak weigerde Microsoft persoonsgegevens over te dragen in een strafzaak. Destijds maakte de dataretentiewet het niet mogelijk om persoonsgegevens die zich buiten de VS  bevinden op te vragen. Door de inwerkingtreding van de CLOUD-Act is dat onder bepaalde omstandigheden nu wel mogelijk.

‘’A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such providers possession, custody, or control, regardless of whether such communication, record or other information is located within or outside of the United States’’

Voor wie is de CLOUD-Act van belang?
De CLOUD-Act heeft extraterritoriale werking. Dit houdt in dat de Amerikaanse overheid zich de bevoegdheid toeschrijft om gegevens op te vragen buiten haar eigen territoriale grondgebied. Dit geldt onder bepaalde omstandigheden dus ook voor Europese providers. Uit een onderzoek van GreenbergTraurig dat zij voor het Nationaal Cyber Security Centrum (NCSC) uitvoerde blijkt dat een Europese provider in twee gevallen niet aan een verzoek van de Amerikaanse overheid hoeft te voldoen. Allereerst hoeven Europese providers niet te voldoen aan verzoek op grond van de CLOUD-Act als deze geen enkele zakelijke relatie of contacten heeft met een bedrijf die actief is in de VS. Ten tweede zijn providers uitgesloten waarbij geen enkel Amerikaans bedrijf toegang, bezit of controle heeft over de opgeslagen persoonsgegevens in Europa. Europese providers waarvan het moederbedrijf Amerikaans is, vallen echter altijd onder de CLOUD-Act. Dit komt omdat niet kan worden uitgesloten dat dit moederbedrijf toegang tot de gegevens heeft.

Wat zijn de vereisten van een informatieverzoek op grond van de CLOUD-Act?
Een informatieverzoek op grond van de CLOUD-Act hangt af van verschillende factoren. Ten eerste moet er sprake zijn ‘probable cause’. Dit houdt in dat er een verwachting is dat de opgevraagde persoonsgegevens bewijs opleveren in een onderliggende strafzaak. Ten tweede moet de Amerikaanse overheid aantonen dat de Europese provider continue en systematische aanwezigheid in de VS had of dat de Europese provider ‘minimum contacts’ had met bedrijven uit de VS. Tot slot moeten de persoonsgegevens wel in bezit of controle van de Europese provider zijn.

De vraag of een Europese provider ‘minimum contacts’ of banden met de VS heeft kan worden ontleed in drie onderdelen. Allereerst moet onderzocht worden of het verzoek direct verband houdt met activiteiten in de VS. Daarnaast moet worden nagegaan of de Europese provider redelijkerwijs mocht verwachten dat haar Amerikaanse contacten voor een Amerikaanse rechter kon worden opgeroepen voor de activiteiten die zij uitvoeren in de VS. Tot slot moet de Amerikaanse overheid nagaan of de uitoefening van haar jurisdictie redelijk is.

Kan een Europese provider een verzoek van de Amerikaanse overheid aanvechten? 
Voor de ontvanger van een informatieverzoek is het moeilijk om een verzoek op grond van de CLOUD-Act aan te vechten, ondanks dat de CLOUD-Act wel deze mogelijkheid biedt. Uit de CLOUD-Act volgt dat een bezwaar van een provider aan twee cumulatieve vereisten moet voldoen. Allereerst moeten zij aantonen dat de gegevens niet van een Amerikaanse staatsburger zijn. Vervolgens moet de Europese provider aantonen dat toezegging aan het verzoek materiële schade oplevert en er een wet wordt overtreden van een ‘Qualifying Foreign Government’. Ten slotte is alleen de Amerikaanse rechter bevoegd om de rechtmatigheid van een verzoek op grond van de CLOUD-Act te beoordelen.

De eis dat er een wet van een ‘Qualifying Foreign Government’ moet worden overtreden maakt het voor Europese providers momenteel onmogelijk om een informatieverzoek van de Amerikaanse overheid aan te vechten. Dit komt omdat de Amerikaanse overheid momenteel nog geen enkel land als ‘Qualifying Foreign Government’ bestempeld.

Heb je nog vragen naar aanleiding van dit blog? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75. Wil je meer lezen over dit onderwerp, lees dan het artikel van het NCSC.