Amerikaanse CLOUD Act en de impact daarvan in Nederland

Sinds 23 maart 2018 is de Clarifying Lawful Use of Overseas Data Act (“CLOUD Act”) van toepassing verklaard in de Verenigde Staten. Amerikaanse aanbieders (“providers”) van elektronische communicatiediensten worden door deze regelgeving verplicht om gegevens die middels hun diensten worden verstuurd te bewaren en te verstrekken op verzoek van de Amerikaanse overheid. De CLOUD Act lijkt volgens sommigen de privacybescherming van de Algemene Verordening Gegevensbescherming (“AVG”) onderuit te halen. In deze blog lees je meer informatie over de CLOUD Act en de implicaties daarvan in Nederland.                                                                                                                                         

CLOUD Act

Met de CLOUD Act hebben Amerikaanse opsporings- en veiligheidsdiensten een middel gekregen om gegevens te vorderen van Amerikaanse providers van elektronische communicatiediensten, zoals Google en Amazon. Dit kan zonder rechterlijke toetsing, ongeacht waar ter wereld de servers gelokaliseerd zijn.

Opsporings- en Veiligheidsdiensten mogen dit daarentegen niet zomaar, er moet een verdenking zijn van een ‘ernstig misdrijf’ (zoals terrorisme of drugshandel). Ook betekent dit niet dat deze autoriteiten een gehele database kunnen vorderen met persoonsgegevens van een grote groep mensen, het moet namelijk gericht zijn op een individu.

Wanneer een verzoek is ingediend bij een Amerikaanse provider, kan deze een motie indienen ter vernietiging of wijziging van het verzoek. Deze motie kan worden ingediend, indien de provider van mening is dat de persoon waarover het verzoek gaat niet een onderdaan is van de Verenigde Staten of zich bevindt in de Verenigde Staten.

Risico’s van de CLOUD Act voor het buitenland

Uit de CLOUD Act blijkt niet duidelijk wanneer er sprake is van een verdenking van een ‘ernstig misdrijf’ en hoe deze verdenking wordt getoetst. Voorts bevat de CLOUD Act niet veel waarborgen om de privacy van de betrokkene te beschermen. Gelet hierop, bestaat er dus een kans dat er verzoeken worden ingediend die breder zijn dan bedoeld op grond van de CLOUD Act. Dit is mogelijk een risico, maar het is lastig te zeggen of dit zich in de praktijk ook daadwerkelijk gaat voordoen.

Omdat er geen voorafgaande rechterlijke toets plaats hoeft te vinden voordat Amerikaanse opsporingsdiensten de persoonsgegevens kunnen vorderen, bestaat het risico dat betrokkenen lichtzinnig als verdachte worden bestempeld, enkel om hun persoonsgegevens te vorderen. Er volgt pas een rechterlijke beoordeling op verzoeken van Amerikaanse autoriteiten op het moment dat de provider een motie tot afwijzing indient.

Dit houdt in dat betrokkenen afhankelijk zijn van de bereidwilligheid van een provider om een motie tot afwijzing in te dienen.

Ook buitenlandse overheden die een zogenaamde ‘executive agreement’ met de VS zijn aangegaan kunnen bevoegdheden ontlenen aan de CLOUD Act. Na het afsluiten van een dergelijke overeenkomst kunnen zij ook gegevens opvragen bij Amerikaanse providers, waar ook ter wereld hun servers gelokaliseerd zijn. De voorwaarden voor het aangaan van een dergelijke overeenkomst zijn opgenomen in de CLOUD Act. Verzoeken van buitenlandse overheden zijn wel aan een rechterlijke toetsing onderhevig. 

Europese tegenhanger van de CLOUD Act

Het verdient opmerking dat de Europese Commissie in april 2018 een voorstel heeft ingediend dat een gelijksoortige regeling met zich meebrengt, de E-Evidence Directive. In essentie zijn de regels daarin nagenoeg hetzelfde als die in de CLOUD Act, ware het niet dat de Europese versie meer waarborgen kent om de privacy van de betrokkene te beschermen. Het is nog even afwachten of en wanneer deze richtlijn van kracht wordt...

Wil je weten wat de CLOUD Act betekent voor jouw organisatie, of heb je andere privacy vragen? Neem dan vrijblijvend contact op met mij!