Amerikaanse CLOUD Act zet AVG onder druk

Het was een kleine sectie in een stuk financiële wetgeving die de Amerikaanse president Trump eind maart ondertekende. De financiële wetgeving die daarmee geregeld werd, is hoofdzakelijk een interne aangelegenheid. Maar een kleine sectie in het 2232 pagina’s tellende boekwerk, startend op pagina 2201, laat een aanvullend stukje regulering zien die dankzij de ondertekening ook gelijk wet is geworden. Het gaat om de zogenaamde ‘CLOUD Act’. Wat is deze wet, wat beoogt deze wet en waarom zet deze wet de verhoudingen op scherp?

De CLOUD Act is een wet waarbij CLOUD een acroniem is die staat voor ‘Clarifying Lawfull Oversees Use of Data’. Deze aanpas­sing geldt in hoofdzaak voor een wet uit 1986 die als verouderd gezien werd, de zogenaamde Stored Communications Act (SCA). Hiervan vonden velen dat deze wet niet ver genoeg ging, omdat deze in hoofdzaak handelt over data die buiten de Verenigde Staten wordt opgeslagen. De SCA omvat tevens een procedure waarin de mogelijkheid aan providers wordt gegeven om een dataverzoek vanuit de overheid aan te vechten. Uitgerekend deze SCA is momenteel de wet waarover Microsoft met de Amerikaanse overheid een dispuut heeft. De CLOUD Act vormt een aanvulling op de SCA en moet deze procedure­mogelijkheden gaan beperken.

Waar gaat de CLOUD Act over

De CLOUD Act bepaalt dat Amerikaanse providers de verplichting krijgen om data van betrokkenen af te staan aan de Amerikaanse justitie, waar deze ook ter wereld opgeslagen zijn. Aanvullend geldt dat dit niet alleen op verzoek van de Amerikaanse overheid hoeft te zijn, maar dat ook andere landen een verzoek daartoe kunnen richten aan Amerikaanse providers.

De tekst uit de CLOUD Act, Paragraaf 2713 luidt: ‘Electronic communication service providers and remote computing service providers must comply with the obligations of (the SCA) to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States’.

Het laatste deel is dik gedrukt, omdat dat deel precies laat zien waar de schoen wringt. In de afgelopen jaren waren er cases waarbij instanties zoals de FBI moeite hadden om toegang te krijgen tot gegevens die op computers in andere landen waren opgeslagen. De CLOUD-wet vereist dat Amerikaanse bedrijven toegang verlenen tot dergelijke gegevens, ongeacht in welk land het bedrijf het opslaat. Met de huidige case van Microsoft als slepend voorbeeld.Ook de dataverzoeken die aan andere landen gedaan worden, moeten nog door bilaterale verdragen middels de Mutual Legal Assistance Treaty (MLAT) afgehandeld worden. Ook dit werd als een inefficiënt en tijdrovend proces gezien.

Wat is er mis met de CLOUD Act?

Je gaat je bijna afvragen wat er niet mis is met deze wet. Allereerst is deze wet ogenschijnlijk meegelift met het financiële wetsvoorstel, waardoor het lijkt alsof men deze sectie er ‘doorheen wilde drukken’ zonder dat er al te veel vervelende vragen over zouden komen. Daarnaast voorzag de ‘oude’ SCA in een aantal vastgestelde ‘safeguards’ om privacy min of meer te kunnen waarborgen. In het geval van data die elders opgeslagen zijn, voorzag de MLAT in tussenkomst van Justitie en een rechter die moesten besluiten of data openbaar gemaakt mocht worden.

Daarnaast kan alleen een ‘Qualifying foreign government’ toegang krijgen tot gegevens die zich in de Verenigde Staten bevinden.

Als een land deze kwalificatie niet bezit, dan kan de Amerikaanse Attorney General dit kwalificatiezegel op verzoek en na gedegen onderzoek afgeven aan het betreffende land. De EU en haar lidstaten bezit dit kwalificatiezegel niet en uiteraard geldt dit zegel uitsluitend voor individuele landen, wat inhoudt dat ieder Europees land individueel door deze kwalificatiemolen heen zal moeten. Het geeft ook meer macht inzake besluiten tot openbaarheid van in de Verenigde Staten opgeslagen data aan een paar mensen in plaats van gekwalificeerde instanties en een onafhankelijke rechter.

Botsing met de AVG

De CLOUD Act botst met de AVG op artikel 48 van laatstgenoemde. Dit artikel bepaalt dat data uitsluitend met niet-Europese landen uitgewisseld mag worden op basis van een gerechtelijke uitspraak die gebaseerd is op een bilateraal verdrag (zoals de MLAT). Zonder de vermelde uitzonderingsgevallen kan en zal geen gehoor worden gegeven aan een data-uitwisselings­verzoek. De CLOUD Act is geen overeenkomst die met de EU als geheel kan worden afgesloten, maar moet met ieder land afzonderlijk. Deze verdragen bestaan momenteel (nog) niet. Daarmee lijkt het dat beide wetten niet naast elkaar kunnen leven.

Met het van kracht worden van de CLOUD Act is de rol van verdragen (MLAT) uitgespeeld. Artikel 48 AVG kan als gevolg daarvan geen toepassing meer vinden. Dan kan er nog gekeken worden naar artikel 49 AVG, lid 1 sub d en lid 1 slot. In deze beide gevallen dient een afweging van belangen gemaakt te worden. De CLOUD Act biedt echter geen ruimte voor een dergelijke belangenafweging, waarmee de verhoudingen op scherp komen te staan.

Waar gaat het mis?

De CLOUD Act betekent dat Amerikaanse providers, al dan niet met datacenters op Europees grondgebied, die geconfronteerd worden met een beslissing dat zij data moeten openbaren die zich in de EU bevinden, geen mogelijkheid meer hebben om die beslissing aan te vechten. Zij zullen daaraan moeten voldoen. Tegelijkertijd betekent het voldoen aan zo’n beslissing echter ook dat deze provider in strijd handelt met zijn verplichtingen onder de AVG/GDPR en daardoor zeer hoge boetes riskeert.

En de EU-US Privacy Shield dan?

Tja, over dit Privacy Shield zijn de gemoederen ook nog steeds verdeeld. De kans is groot dat ook deze regeling uiteindelijk zal worden aangevochten voor het Hof van Justitie. Tegenstanders oordelen dat het Privacy Shield onvoldoende waarborgen biedt, voornamelijk gaat het over het systeem van zelfcertificering, en dat deze te vaag werd geformuleerd. Zo oordeelt ook de Article 29 Working party, het overlegorgaan van de Europese privacy­toezichthouders. Hier is het laatste woord dus blijkbaar ook nog niet over gezegd.

Maurice van der Woude is directeur van BPdelivery