Patriot Act en de Cloud

Patriot Act en de Cloud in hoofdlijnen
Cloud computing en privacy zijn onderwerpen die tegenwoordig volop in de belangstelling staan. De “mist” die Minister Plasterk een tijdje geleden nog opriep omtrent het aftappen van NederIands telefoonverkeer (wie heeft  nou eigenlijk hele grote oren, de VS of de AIVD?), is voor veel ondernemers en gebruikers van online diensten opnieuw een reden voor grote zorg. Het leidde opnieuw tot Kamervragen. Men krijgt de indruk dat inlichtingendiensten wel erg ver mogen gaan in het verzamelen van gegevens, dat diegenen die verantwoordelijk dragen omtrent privacybescherming van Europese of Nederlandse burgers en bedrijven, het vaak zelf ook niet helemaal op een rijtje hebben. Inmiddels weten we dat de NSA over de hele wereld data en telefoonverkeer aftapt en meeluistert. Hoe zit het nu precies met de Cloud en de bescherming van uw gegevens? Waar moet u op letten als u een nationale of buitenlandse overheid niet wilt laten meekijken en is dat in de huidige globale informatiesamenleving nog wel te realiseren? Hieronder een korte uiteenzetting over de situatie anno 2014.

 

De reikwijdte van de Patriot Act
In tegenstelling tot wat veel mensen denken is de “Patriot Act” als zodanig geen zelfstandige wet. Het is een serie wetswijzigingen die vanaf Oktober 2001 in de U.S. in gang is gezet. De wijzingen betreffen onder meer de Foreign Intelligence Surveillance Act (FISA) en de Electronic Communications Privacy Act. Op grond van deze wetten mogen de inlichtingen- en veiligheidsdiensten van de VS zonder tussenkomst van een rechter internet- en telefoontaps verrichten. Het artikel 50 USC 1881a geeft Amerikaanse veiligheidsdiensten het recht om aan Amerikaanse ingezetenen (United States Persons) te verzoeken om gegevens buiten Amerika op te vragen, of te helpen hieraan te komen. Dit geldt ook voor buitenlandse burgers en bedrijven die zich volgens de Amerikaanse wet op het grondgebied van de VS bevinden. Een bedrijf hoeft geen moedervestiging op Amerikaans grondgebied te hebben om onder dit wetsartikel te vallen. Om inlichtingen te mogen vergaren is het nodig dat er een “redelijke verwachting bestaat dat de opgevraagde gegevens relevant zullen zijn voor een lopend strafrechtelijk onderzoek.” De term “redelijke verwachting” is in de praktijk dusdanig op te rekken, dat de NSA voor bijna elk doel informatie mag opsporen en confisqueren.

 

Gevolgen voor Europese cloudleveranciers
Als een Europese cloudleverancier geen enkele activiteiten ontplooit in de VS, hoeft formeel geen gevolg te worden gegeven aan een verzoek van een Amerikaanse inlichtingendienst. Toch weet de NSA in al haar onovertroffen creativiteit dit probleem vaak slim te omzeilen door een verzoek tot samenwerking en rechtshulp neer te leggen bij Europol of een Europese veiligheidsdienst. Welke daarna weer de desbetreffende cloudleverancier benadert om gegevens over te dragen. Deze verzoeken zijn in de praktijk beter gereguleerd vanwege het verschil in Europese privacywetgeving in vergelijking tot de VS. Voor betalingsgegevens hebben Europa en de VS bijvoorbeeld het SWIFT-akkoord opgesteld, waarin de uitwisseling en privacy van betalingsgegevens beter zou moeten zijn gereguleerd.

 

Wat kunnen Nederlandse cloudleveranciers garanderen?
Data is in vergelijking tot de VS binnen Europa beter beschermd  door de Europese privacyrichtlijn (richtlijn 95/46/EG) en de lokale privacywetgevingen in de desbetreffende landen. Deze verschillen evenwel nog steeds per land. In Nederland moet in het uiterste geval altijd de rechter een beslissing nemen over de rechtmatigheid van een verzoek tot dataoverlevering vanuit de overheid. De mate van bescherming hangt vooral af van de grensoverschrijdende activiteiten van de onderneming (lees cloudleverancier of hostingbedrijf) zelf of de klanten van dit bedrijf. Vooral ondernemingen die grensoverschrijdend zaken doen in de VS kunnen linksom of rechtsom te maken krijgen met de Patriot Act waardoor zij kunnen worden gedwongen om data aan veiligheidsdiensten of de FBI over te leveren. In Nederland is privacybescherming geregeld in de Wet Bescherming Persoonsgegevens (Wbp), die op 1 September 2001 in werking is getreden. In het kader van privacy compliance dient een organisatie niet alleen rekening te houden met de Wbp, maar ook met de richtlijnen van het College Bescherming Persoonsgegevens, die soms weer een uitvloeisel zijn van de Europese instantie, de EPDS (European Data Protection Supervisor).

 

Privacybescherming en de servers in Luxemburg
De laatste wetsartikelen en amendementen inzake databescherming in Luxemburg, vastgelegd in de “Loi relative à la protection des personnes à l’égard du traitement des données à caractère personnel“, zijn in werking getreden op 2 Augustus 2002. Het wordt door diverse privacy-rechtsgeleerden gezien als een wet die verder gaat dan de Europese richtlijnen op dit gebied. Luxemburg heeft dan ook een (1) grondwet die wat dat betreft verder gaat dan de meeste Europese landen. Wat biedt Luxemburg dan wat sommige andere Europese landen niet bieden? Lees ons artikel over “Dataprotectie in Luxemburg” dat medio April zal verschijnen.

Noten:
(1)The Constitution of the Grand Duchy of Luxembourg guarantees a general right to privacy as well as the secrecy of correspondence. Article 11 of the Constitution provides that the State guarantees the protection of one’s private life, except if the law provides otherwise.