Naar het menu

/// Microsoft omarmt de CLOUD Act

Inleiding

 

Als gevolg van de invoering in Amerika van de Clarifying Lawful Overseas Use of Data Act, ook wel CLOUD Act genoemd, per 23 maart 2018, is naar alle waarschijnlijkheid een einde gekomen aan de gerechtelijke procedure tussen Microsoft en de Amerikaanse staat (United States of America v. Microsoft Corporation). In die procedure verzet Microsoft zich tegen een bevel van de Amerikaanse staat, tot openbaarmaking van data die buiten Amerika is opgeslagen. In dit geval in Ierland.

Beide partijen hebben het US Supreme Court, waar de zaak dient, inmiddels schriftelijk laten weten er belang bij te hebben dat een streep wordt gehaald door deze procedure.

Voor zowel de Amerikaans staat als voor Microsoft geldt de nieuwe CLOUD Act als leidraad voor verder handelen.

 

Of gebruikers van Amerikaanse providers als Microsoft hier blij mee moeten zijn, is de vraag.

Zie ook mijn eerdere bijdrage: http://www.deboeregberts.nl/?q=nieuws/op-ramkoers-cloud-act-en-avggdpr

 

Microsoft, net als andere grote providers zoals Google, Facebook, Apple en Oath, wijst op de balans in de CLOUD Act tussen enerzijds adequate toegang tot (buitenlandse) data en anderzijds een goede bescherming van privacy.

Of dat laatste onder de CLOUD Act inderdaad zo is, is twijfelachtig.

 

Een bevel tot openbaarmaking van data, onder de CLOUD Act, kan ertoe leiden dat zonder medeweten van betrokkenen data die vallen onder de werking van de op 25 mei 2018 in  de Europese Unie in werking tredende Algemene Verordening Gegevensbescherming (AVG), openbaar worden gemaakt en worden afgegeven. Aan de Amerikaanse staat of, onder omstandigheden, aan een derde-land.

Echter, data die onder de werking van de AVG vallen mogen niet zondermeer getransporteerd worden vanuit de Europese Unie naar Amerika, of naar een ander land buiten de Europese Unie.

Toch kan de CLOUD Act Amerikaanse providers daartoe verplichten.

 

Microsoft wijst op de mogelijkheid die de CLOUD Act providers biedt om een bevel tot openbaarmaking door een rechter te laten toetsen en, in het uiterste geval, te laten vernietigen. Daarvoor is echter wel nodig dat het gaat om data die opgeslagen is in een land waarmee Amerika een overeenkomst heeft gesloten onder de CLOUD Act, een zogenoemde “executive agreement”.

Zolang echter zo’n overeenkomst niet is gesloten kan de betreffende bepaling door de provider niet worden ingeroepen.

 

Daarnaast wijst Microsoft erop dat, ook zonder een executive agreement, het voor een provider onder de CLOUD Act mogelijk is om ieder bevel aan een rechterlijke instantie ter beoordeling voor te leggen, maar dan via de algemene wettelijke weg (“common-law”).

In de literatuur wordt er echter op gewezen dat ook deze optie op voorhand niet tot zekerheid leidt.

De vraag is namelijk hoe rechterlijke instanties in Amerika met zo’n procedure omgaan, aangezien tot op heden geen Amerikaanse rechterlijke instantie een dergelijke procedure ter beoordeling voorgelegd heeft gekregen.

 

Conclusie

 

De CLOUD Act roept serieuze vragen van competentie op. Vooralsnog is het onduidelijk hoe de CLOUD Act zich zal gaan verhouden tot de AVG.

Daarmee is het op dit moment dus niet zeker dat privacy van betrokkenen, buiten Amerika, op voldoende wijze gewaarborgd blijft.

 

Europese partijen die data hebben ondergebracht bij Amerikaanse providers hebben dus niet (meer) de zekerheid dat de AVG hun privacy kan garanderen zoals in de AVG is voorzien.

 

Deze onzekerheid zou er wel eens toe kunnen leiden dat partijen hun data ofwel niet meer bij Amerikaanse providers onderbrengen, ofwel die data daar weghalen en onderbrengen, elders binnen de EU.

De Boer & Egberts Advocaten (DBE) is een gedreven team dat zijn juridische expertise graag inzet voor kleine en grote bedrijven. Het team adviseert u over alle juridische kwesties die in uw organisatie aan de orde komen.