Op 23 maart 2018 heeft het Amerikaanse Congres de ‘Clarifying Overseas Use of Data Act’ (CLOUD Act) aangenomen. Het wetsvoorstel was slechts een onderdeel van een 2.323 pagina-tellend budgetplan, maar heeft grote gevolgen voor de toegang tot gegevens door opsporingsinstanties bij Amerikaanse internetdienstverleners, zoals Microsoft, Facebook en Google.
De CLOUD Act past enkele bepalingen in de ‘Stored Communications Act’ aan dat gaat over de toegang tot gegevens bij Amerikaanse elektronische communicatiedienstverleners in opsporingsonderzoeken. Deze wet maakt ten eerste mogelijk dat opsporingsinstanties in de Verenigde Staten toegang krijgen tot gegevens die buiten de VS zijn opgeslagen. Ten tweede maakt de CLOUD Act het mogelijk dat niet-VS opsporingsautoriteiten toegang kunnen krijgen tot gegevens van Amerikaanse dienstverleners als aan bepaalde voorwaarden wordt voldaan.
De eerste aanpassing kan worden gezien als een gevolg van de Microsoft t. Ierland-zaak, waarbij een Amerikaanse rechtbank had besloten dat de FBI geen toegang kreeg tot gegevens van Microsoft in Ierland. Deze zaak ligt nu bij het Amerikaans Hooggerechtshof. De CLOUD Act maakt duidelijk dat in het vervolg Microsoft de FBI toegang moet geven tot haar gegevens op basis van de Stored Communications Act, óók als deze buiten de VS ligt opgeslagen.
De tweede aanpassing heet tot gevolg dat andere staten met de Verenigde Staten afspraken moeten maken als zij direct toegang willen krijgen tot gegevens van Amerikaanse elektronische communicatieaanbieders. Het gaat daarbij om populaire diensten zoals Facebook, en de webmaildiensten van Microsoft en Facebook. Deze afspraken moeten worden gemaakt in een zogenoemde ‘executive agreement’. Het ziet er naar uit dat individuele staten zoals Nederland in zo’n agreement kunnen treden, maar ook een EU-VS overeenkomst in denkbaar.
De staat die met de VS deze afspraken wilt maken moet wel aan bepaalde criteria met betrekking tot fundamentele rechten voldoen. Als een ‘executive agreement’ van kracht is, kunnen niet-VS opsporingsdiensten gegevens vorderen van Amerikaanse dienstverleners onder hun eigen regelgeving voor zover de gegevens niet van Amerikaanse burgers zijn. De vordering moet verder betrekking hebben op ernstige criminaliteit, door een onafhankelijke autoriteit (kunnen) worden getoetst, voldoende specifiek zijn en voldoen aan de nationale regelgeving van de betreffende staat. Als onderdeel van het principe van reciprociteit, krijgen ook Amerikaanse dienstverleners de mogelijkheid tot direct toegang tot de gegevens van internetdienstverleners op het grondgebied van de andere desbetreffende staat.
Internetdienstverleners krijgen de mogelijkheid protest aan te tekenen als zij denken dat de verstrekking van gegevens van een niet-Amerikaan of persoon die zich buiten de VS bevindt in strijd is met de regelgeving van een ander land. Een Amerikaanse rechtbank besluit dan op basis van ‘balanceertest’ of de gegevens moeten worden afgegeven.
jjoerlemans.com 