In maart 2018 is in de Verenigde Staten (“VS”) de US CLOUD Act aangenomen. Deze wet staat voor ‘Clarifying Lawful Overseas Use of Data’ en geeft Amerikaanse autoriteiten de bevoegdheid om gegevens op te vragen bij bedrijven die in de VS elektronische communicatiediensten of remote computing-diensten aanbieden. Dergelijke gegevens hoeven hiervoor niet in de VS te zijn opgeslagen. Deze wetgeving kan dus vergaande gevolgen hebben voor zowel Nederlandse burgers omdat hun persoonsgegevens kunnen worden gedeeld met de VS, als voor Nederlandse bedrijven omdat zij mogelijk in een juridische spagaat terecht kunnen komen. Lees hier meer.
Het vorderen van dergelijke gegevens kan niet zomaar – er moet sprake zijn van een gerechtelijk bevel en van ‘probable cause’; een rechtvaardiging dat er daadwerkelijk bewijs wordt gevonden welke bijdraagt aan een lopend onderzoek. Daarnaast kunnen bedrijven een dergelijk verzoek aanvechten bij een Amerikaanse rechter, welke vervolgens een belangenafweging maakt. Tevens is het mogelijk om, op basis van de voorwaarden in de US CLOUD Act, als land een verdrag te sluiten met de VS, welke de uitlevering van gegevens in het kader van strafrechtelijk onderzoek reguleert.
Het is overigens goed om op te merken dat het hier niet gaat om systematische, grootschalige verzameling van informatie, maar om gerichte, individuele verzoeken. Tevens is het goed om te weten dat de Amerikaanse overheid ook op basis van andere wetgeving gegevens kan verkrijgen, zoals bijvoorbeeld op grond van de US Patriot Act.
Impact van de CLOUD Act
De US CLOUD Act kan, ondanks dat het Amerikaanse wetgeving betreft, wel degelijk effect hebben op Nederlandse burgers. Immers, onder deze wet kunnen bedrijven worden verplicht informatie over niet-Amerikaanse burgers direct te verstrekken aan de Amerikaanse overheid.
Bovenstaande is in strijd met de AVG, zo stellen de European Data Protection Board (“EDPB”) en de European Data Protection Supervisor (“EDPS”) in een gezamenlijke opinie. Immers, een buitenlandse gerechtelijke vordering is niet zonder meer aan te merken als een grondslag op basis waarvan persoonsgegevens kunnen of dienen te worden uitgewisseld. Er moet namelijk aanvullend sprake zijn van een internationaal uitwisselingsverdrag (art. 48 AVG). Is dit niet het geval, dan dient er sprake te zijn van een grond voor verwerking en dus doorgifte, zoals genoemd in de artikelen 6 en 49.
De US CLOUD Act plaatst bedrijven die in de VS elektronische communicatiediensten of remote computing-diensten aanbieden dus een in juridische spagaat: volgen zij de AVG of de US CLOUD Act?
In geval van een tweestrijd tussen de US CLOUD Act en andere (nationale) wetgeving, kunnen dergelijke bedrijven wel een beroep doen op de zogenoemde ‘comity procedure’. Dit is mogelijk wanneer (i) de persoon waarop de informatie ziet geen onderdaan is van de VS en daar ook niet verblijft én (ii) er een risico bestaat dat er een conflict ontstaat met de geldende wetgeving van het verzochte land indien informatie versterkt zou worden. Dit geldt echter alleen ten aanzien van overheden die een verdrag hebben gesloten met de US. Voor de EU bestaat zo’n verdrag nog niet. De EDPB en de EDPS vragen zich dus af in hoeverre daadwerkelijk gebruik kan worden gemaakt van deze regeling.
Uitzondering(?)
Er bestaat ook een uitweg wanneer een bedrijf een verzoek tot het verstrekken van gegevens ontvangt: de ‘common law comity principles’. Uit deze principes volgt namelijk dat bedrijven niet hoeven te voldoen aan Amerikaanse wettelijke verplichtingen, wanneer zij te goeder trouw zijn en er door het voldoen aan de Amerikaanse verplichting een feitelijke kans bestaat dat er zware sancties volgen vanwege het overtreden van een conflicterende wettelijke verplichting in dat derde land. Het is echter ten aanzien van bedrijven in Nederland nog onduidelijk in hoeverre zij een beroep op dergelijke principes kunnen en zullen doen, zo volgt uit berichtgeving van minister Ferd Grapperhaus.
Noodzaak voor een nieuwe (Europese) cloud?
Nu de huidige cloud-business voornamelijk gedomineerd wordt door Amerikaanse spelers – denk aan Google, Microsoft en Amazon – zijn Europese politici bang dat de cloud-providers waarvan zij gebruik maken, vallen onder de reikwijdte van de US CLOUD Act, welke minder garanties voor de bescherming van persoonsgegevens lijkt te bieden dan de AVG. Ook kan niet uitgesloten worden dat in de toekomst nog strengere regelgeving zal gelden voor Amerikaanse cloudaanbieders. Daardoor ontstaan risico’s ten aanzien van de veiligheid van informatie. Tevens bestaat de angst dat de EU op het gebied van clouddiensten een serieuze achterstand op zal lopen ten aanzien van de huidige cloud-grootmachten. Op basis hiervan heeft de Duitse overheid onlangs aangekondigd een Europese cloud, genaamd Gaia X, op te willen zetten om een “nieuwe generatie Europese gegevensinfrastructuur te ontwikkelen voor Europa, haar ondernemingen en haar burgers”.
Dat er twijfels bestaan over de veiligheid van Amerikaanse cloud- en andere serviceproviders, bleek al eerder toen Rijksoverheid een data protection impact assessment (“DPIA”) heeft laten uitvoeren ten aanzien van Microsoft-diensten, waaronder clouddienst Azure, aangezien het opslaan van informatie in de VS hoge risico’s met zich bracht voor gebruikers, zo stelde Rijksoverheid. Uit deze DPIA volgde dat het verzamelen, opslaan en gebruik van informatie niet in lijn was met de AVG.
Inmiddels heeft Microsoft haar producten aangepast en zijn aanvullende afspraken met de Rijksoverheid gemaakt, waardoor de diensten nu wel voldoen aan de AVG. De productaanpassingen zijn inmiddels wereldwijd beschikbaar – de aanvullende afspraken gelden echter alleen voor de Rijksoverheid.
Conclusie
Zoals volgt uit bovenstaande zou de US CLOUD Act, met haar verstrekkende reikwijdte, onder omstandigheden strijdig kunnen zijn met het bepaalde, omtrent de doorgifte van persoonsgegevens onder het regime van de AVG.
Een Europese cloud waarbij persoonsgegevens de EU niet verlaten en waarbij de cloud-aanbieder niet onderworpen is aan de US CLOUD Act, lijkt een goede oplossing. Aan de andere kant gebruikt de Rijksoverheid op dit moment vol vertrouwen de clouddiensten van Microsoft, nu na een DPIA enkele aanpassingen zijn gedaan en afspraken zijn gemaakt waarmee de diensten naar eigen zeggen voldoen aan de AVG.
Er lijkt voor nu nog geen reden tot paniek – het gebruik van Amerikaanse clouddiensten is immers niet verboden noch per definitie onrechtmatig. Echter is het te allen tijde van belang dat serviceproviders voldoende bescherming kunnen bieden en kunnen voldoen aan de in Nederland geldende wet- en regelgeving.
Juridisch advies of meer informatie
Wilt u weten of uw dienstverlening voldoet aan de AVG of heeft u vragen over de doorgifte van persoonsgegevens naar derde landen? Neem dan contact op met Martin Hemmer.
Dit blog is geschreven door Sophie Hendriks.
In maart 2018 is in de Verenigde Staten (“VS”) de US CLOUD Act aangenomen. Deze wet staat voor ‘Clarifying Lawful Overseas Use of Data’ en geeft Amerikaanse autoriteiten de bevoegdheid om gegevens op te vragen bij bedrijven die in de VS elektronische communicatiediensten of remote computing-diensten aanbieden. Dergelijke gegevens hoeven hiervoor niet in de VS te zijn opgeslagen. Deze wetgeving kan dus vergaande gevolgen hebben voor zowel Nederlandse burgers omdat hun persoonsgegevens kunnen worden gedeeld met de VS, als voor Nederlandse bedrijven omdat zij mogelijk in een juridische spagaat terecht kunnen komen. Lees hier meer.
Het vorderen van dergelijke gegevens kan niet zomaar – er moet sprake zijn van een gerechtelijk bevel en van ‘probable cause’; een rechtvaardiging dat er daadwerkelijk bewijs wordt gevonden welke bijdraagt aan een lopend onderzoek. Daarnaast kunnen bedrijven een dergelijk verzoek aanvechten bij een Amerikaanse rechter, welke vervolgens een belangenafweging maakt. Tevens is het mogelijk om, op basis van de voorwaarden in de US CLOUD Act, als land een verdrag te sluiten met de VS, welke de uitlevering van gegevens in het kader van strafrechtelijk onderzoek reguleert.
Het is overigens goed om op te merken dat het hier niet gaat om systematische, grootschalige verzameling van informatie, maar om gerichte, individuele verzoeken. Tevens is het goed om te weten dat de Amerikaanse overheid ook op basis van andere wetgeving gegevens kan verkrijgen, zoals bijvoorbeeld op grond van de US Patriot Act.
Impact van de CLOUD Act
De US CLOUD Act kan, ondanks dat het Amerikaanse wetgeving betreft, wel degelijk effect hebben op Nederlandse burgers. Immers, onder deze wet kunnen bedrijven worden verplicht informatie over niet-Amerikaanse burgers direct te verstrekken aan de Amerikaanse overheid.
Bovenstaande is in strijd met de AVG, zo stellen de European Data Protection Board (“EDPB”) en de European Data Protection Supervisor (“EDPS”) in een gezamenlijke opinie. Immers, een buitenlandse gerechtelijke vordering is niet zonder meer aan te merken als een grondslag op basis waarvan persoonsgegevens kunnen of dienen te worden uitgewisseld. Er moet namelijk aanvullend sprake zijn van een internationaal uitwisselingsverdrag (art. 48 AVG). Is dit niet het geval, dan dient er sprake te zijn van een grond voor verwerking en dus doorgifte, zoals genoemd in de artikelen 6 en 49.
De US CLOUD Act plaatst bedrijven die in de VS elektronische communicatiediensten of remote computing-diensten aanbieden dus een in juridische spagaat: volgen zij de AVG of de US CLOUD Act?
In geval van een tweestrijd tussen de US CLOUD Act en andere (nationale) wetgeving, kunnen dergelijke bedrijven wel een beroep doen op de zogenoemde ‘comity procedure’. Dit is mogelijk wanneer (i) de persoon waarop de informatie ziet geen onderdaan is van de VS en daar ook niet verblijft én (ii) er een risico bestaat dat er een conflict ontstaat met de geldende wetgeving van het verzochte land indien informatie versterkt zou worden. Dit geldt echter alleen ten aanzien van overheden die een verdrag hebben gesloten met de US. Voor de EU bestaat zo’n verdrag nog niet. De EDPB en de EDPS vragen zich dus af in hoeverre daadwerkelijk gebruik kan worden gemaakt van deze regeling.
Uitzondering(?)
Er bestaat ook een uitweg wanneer een bedrijf een verzoek tot het verstrekken van gegevens ontvangt: de ‘common law comity principles’. Uit deze principes volgt namelijk dat bedrijven niet hoeven te voldoen aan Amerikaanse wettelijke verplichtingen, wanneer zij te goeder trouw zijn en er door het voldoen aan de Amerikaanse verplichting een feitelijke kans bestaat dat er zware sancties volgen vanwege het overtreden van een conflicterende wettelijke verplichting in dat derde land. Het is echter ten aanzien van bedrijven in Nederland nog onduidelijk in hoeverre zij een beroep op dergelijke principes kunnen en zullen doen, zo volgt uit berichtgeving van minister Ferd Grapperhaus.
Noodzaak voor een nieuwe (Europese) cloud?
Nu de huidige cloud-business voornamelijk gedomineerd wordt door Amerikaanse spelers – denk aan Google, Microsoft en Amazon – zijn Europese politici bang dat de cloud-providers waarvan zij gebruik maken, vallen onder de reikwijdte van de US CLOUD Act, welke minder garanties voor de bescherming van persoonsgegevens lijkt te bieden dan de AVG. Ook kan niet uitgesloten worden dat in de toekomst nog strengere regelgeving zal gelden voor Amerikaanse cloudaanbieders. Daardoor ontstaan risico’s ten aanzien van de veiligheid van informatie. Tevens bestaat de angst dat de EU op het gebied van clouddiensten een serieuze achterstand op zal lopen ten aanzien van de huidige cloud-grootmachten. Op basis hiervan heeft de Duitse overheid onlangs aangekondigd een Europese cloud, genaamd Gaia X, op te willen zetten om een “nieuwe generatie Europese gegevensinfrastructuur te ontwikkelen voor Europa, haar ondernemingen en haar burgers”.
Dat er twijfels bestaan over de veiligheid van Amerikaanse cloud- en andere serviceproviders, bleek al eerder toen Rijksoverheid een data protection impact assessment (“DPIA”) heeft laten uitvoeren ten aanzien van Microsoft-diensten, waaronder clouddienst Azure, aangezien het opslaan van informatie in de VS hoge risico’s met zich bracht voor gebruikers, zo stelde Rijksoverheid. Uit deze DPIA volgde dat het verzamelen, opslaan en gebruik van informatie niet in lijn was met de AVG.
Inmiddels heeft Microsoft haar producten aangepast en zijn aanvullende afspraken met de Rijksoverheid gemaakt, waardoor de diensten nu wel voldoen aan de AVG. De productaanpassingen zijn inmiddels wereldwijd beschikbaar – de aanvullende afspraken gelden echter alleen voor de Rijksoverheid.
Conclusie
Zoals volgt uit bovenstaande zou de US CLOUD Act, met haar verstrekkende reikwijdte, onder omstandigheden strijdig kunnen zijn met het bepaalde, omtrent de doorgifte van persoonsgegevens onder het regime van de AVG.
Een Europese cloud waarbij persoonsgegevens de EU niet verlaten en waarbij de cloud-aanbieder niet onderworpen is aan de US CLOUD Act, lijkt een goede oplossing. Aan de andere kant gebruikt de Rijksoverheid op dit moment vol vertrouwen de clouddiensten van Microsoft, nu na een DPIA enkele aanpassingen zijn gedaan en afspraken zijn gemaakt waarmee de diensten naar eigen zeggen voldoen aan de AVG.
Er lijkt voor nu nog geen reden tot paniek – het gebruik van Amerikaanse clouddiensten is immers niet verboden noch per definitie onrechtmatig. Echter is het te allen tijde van belang dat serviceproviders voldoende bescherming kunnen bieden en kunnen voldoen aan de in Nederland geldende wet- en regelgeving.
Juridisch advies of meer informatie
Wilt u weten of uw dienstverlening voldoet aan de AVG of heeft u vragen over de doorgifte van persoonsgegevens naar derde landen? Neem dan contact op met Martin Hemmer.
Dit blog is geschreven door Sophie Hendriks.