Europese overheden vragen massaal data op
Europese bedrijven maken zich volgens Microsoft onterecht zorgen over de Amerikaanse Cloud Act. Tijdens het evenement ‘Microsoft European Digital Commitment Day’ in Wenen benadrukte Jeff Bullwinkel, vice-president en deputy general counsel bij Microsoft EMEA, dat de wet geen nieuwe bevoegdheden creëert en dat de risico’s voor Europese bedrijven ‘vrijwel nihil’ zijn.
‘Het eerste wat ik wil zeggen over de Cloud Act is dat het geen nieuwe autoriteiten heeft gecreëerd voor de Amerikaanse overheid’, aldus Bullwinkel. ‘Het heeft het systeem waarmee de overheid toegang tot data kan eisen niet veranderd. De regels blijven hetzelfde: er is een bevel van een onafhankelijke rechter nodig, gebaseerd op een strafrechtelijk onderzoek naar ernstige criminaliteit zoals witwassen, drugshandel of kinderuitbuiting.’
Hij voegde eraan toe dat Microsoft nog nooit Europese overheidsdata heeft overgedragen aan de Verenigde Staten en dat de meeste verzoeken wereldwijd niet eens betrekking hebben op die gegevens. ‘Als praktisch gevolg is het risico dat bedrijven hier in Oostenrijk of elders in Europa een disclosure order ontvangen vrijwel nihil’, zei hij.
‘OVH levert Canada data’
Een opvallend punt dat Bullwinkel benadrukte, is dat de Cloud Act niet alleen geldt voor Amerikaanse bedrijven. ‘Er is een veelvoorkomend misverstand dat deze wet alleen voor Amerikaanse bedrijven geldt. Dat is niet het geval. De Cloud Act en andere relevante Amerikaanse wetten zijn van toepassing op elk bedrijf dat een zakelijke of online verbinding met de VS heeft. Neem bijvoorbeeld OVHcloud, een Franse cloudprovider. Ook zij vallen onder de wet en beantwoorden verzoeken van de Amerikaanse overheid’, zei Bullwinkel.
Hij verwees naar een recent voorbeeld waarin OVH Franse data aan Canada leverde. Dit toont volgens hem aan dat het om een ‘globaal probleem van mondiale data-interesse’ gaat, waar bedrijven zich op moeten voorbereiden.
OVH vaag over Cloud Act
Hoewel Bullwinkel stelt dat OVHcloud zelf erkent onder de Cloud Act te vallen, is daarvoor op de website van de Franse provider geen expliciete bewoording te vinden. OVHcloud benadrukt juist dat Europese klantdata organisatorisch en technisch gescheiden zijn van de Amerikaanse entiteit en daardoor niet automatisch onder Amerikaanse jurisdictie vallen. Tegelijk erkent OVHcloud wel dat zij wettige verzoeken van autoriteiten zullen naleven en dat, onder de Cloud Act, dit ook data buiten de VS kunnen betreffen. Het bedrijf voegt eraan toe dat het juridische mogelijkheden zal onderzoeken om dergelijke verzoeken aan te vechten of te beperken.
De passage geeft dus aan dat Europese data in theorie onder de reikwijdte van de Cloud Act kunnen vallen, maar OVHcloud zelf presenteert dit als iets dat juridisch afgewogen en beperkt kan worden. Er is echter geen openbaar bewijs dat OVH daadwerkelijk Europese gegevens heeft overgedragen op basis van de Cloud Act. Wel is bekend dat een Canadese rechtbank eerder dit jaar oordeelde dat het bedrijf gegevens moest verstrekken in een specifieke juridische procedure.
Europa vraagt data op
Bullwinkel benadrukte dat Europese overheden zelf ook actief gebruikmaken van clouddata. Het communiceert hier halfjaarlijks over in speciale Microsoft Government Requests Reports. Duitsland deed in de laatste rapportageperiode 5.296 verzoeken aan Microsoft, bijna net zoveel als de Verenigde Staten. Duitsland doet de meeste dataverzoeken van alle Europese landen. Frankrijk volgde met ongeveer tweeduizend verzoeken en Oostenrijk telde 263 verzoeken. ‘Voor een land met de omvang van Oostenrijk is dat niet klein. Mensen realiseren zich vaak niet hoeveel data Europese overheden opvragen’, zei hij.
Tegelijkertijd wees Bullwinkel erop dat ook de Europese Unie zelf wetgeving invoert die vergelijkbare bevoegdheden biedt. De European Evidence Regulation, die volgend jaar van kracht wordt, zal het voor Europese politie- en opsporingsdiensten mogelijk maken data op te vragen van technologiebedrijven buiten de EU.
Geen reden voor paniek
Volgens Microsoft is er geen reden voor paniek onder Europese bedrijven over de Cloud Act. ‘Zorgen hierover zijn overdreven. Het gaat om zeer gerichte onderzoeken naar ernstige criminaliteit en het risico dat een bedrijf getroffen wordt, is praktisch nul’, aldus Bullwinkel. Tegelijkertijd geeft zijn uitspraak over OVHcloud en de internationale dataoverdracht stof tot discussie over datasoevereiniteit en de reikwijdte van Amerikaanse wetgeving buiten de VS.
