Europese overheden vragen massaal data op
Europese bedrijven maken zich volgens Microsoft onterecht zorgen over de Amerikaanse Cloud Act. Tijdens het evenement ‘Microsoft European Digital Commitment Day’ in Wenen benadrukte Jeff Bullwinkel, vice-president en deputy general counsel bij Microsoft EMEA, dat de wet geen nieuwe bevoegdheden creëert en dat de risico’s voor Europese bedrijven ‘vrijwel nihil’ zijn.
‘Het eerste wat ik wil zeggen over de Cloud Act is dat het geen nieuwe autoriteiten heeft gecreëerd voor de Amerikaanse overheid’, aldus Bullwinkel. ‘Het heeft het systeem waarmee de overheid toegang tot data kan eisen niet veranderd. De regels blijven hetzelfde: er is een bevel van een onafhankelijke rechter nodig, gebaseerd op een strafrechtelijk onderzoek naar ernstige criminaliteit zoals witwassen, drugshandel of kinderuitbuiting.’
Hij voegde eraan toe dat Microsoft nog nooit Europese overheidsdata heeft overgedragen aan de Verenigde Staten en dat de meeste verzoeken wereldwijd niet eens betrekking hebben op die gegevens. ‘Als praktisch gevolg is het risico dat bedrijven hier in Oostenrijk of elders in Europa een disclosure order ontvangen vrijwel nihil’, zei hij.
‘OVH levert Canada data’
Een opvallend punt dat Bullwinkel benadrukte, is dat de Cloud Act niet alleen geldt voor Amerikaanse bedrijven. ‘Er is een veelvoorkomend misverstand dat deze wet alleen voor Amerikaanse bedrijven geldt. Dat is niet het geval. De Cloud Act en andere relevante Amerikaanse wetten zijn van toepassing op elk bedrijf dat een zakelijke of online verbinding met de VS heeft. Neem bijvoorbeeld OVHcloud, een Franse cloudprovider. Ook zij vallen onder de wet en beantwoorden verzoeken van de Amerikaanse overheid’, zei Bullwinkel.
Hij verwees naar een recent voorbeeld waarin OVH Franse data aan Canada leverde. Dit toont volgens hem aan dat het om een ‘globaal probleem van mondiale data-interesse’ gaat, waar bedrijven zich op moeten voorbereiden.
OVH vaag over Cloud Act
Hoewel Bullwinkel stelt dat OVHcloud zelf erkent onder de Cloud Act te vallen, is daarvoor op de website van de Franse provider geen expliciete bewoording te vinden. OVHcloud benadrukt juist dat Europese klantdata organisatorisch en technisch gescheiden zijn van de Amerikaanse entiteit en daardoor niet automatisch onder Amerikaanse jurisdictie vallen. Tegelijk erkent OVHcloud wel dat zij wettige verzoeken van autoriteiten zullen naleven en dat, onder de Cloud Act, dit ook data buiten de VS kunnen betreffen. Het bedrijf voegt eraan toe dat het juridische mogelijkheden zal onderzoeken om dergelijke verzoeken aan te vechten of te beperken.
De passage geeft dus aan dat Europese data in theorie onder de reikwijdte van de Cloud Act kunnen vallen, maar OVHcloud zelf presenteert dit als iets dat juridisch afgewogen en beperkt kan worden. Er is echter geen openbaar bewijs dat OVH daadwerkelijk Europese gegevens heeft overgedragen op basis van de Cloud Act. Wel is bekend dat een Canadese rechtbank eerder dit jaar oordeelde dat het bedrijf gegevens moest verstrekken in een specifieke juridische procedure.
Europa vraagt data op
Bullwinkel benadrukte dat Europese overheden zelf ook actief gebruikmaken van clouddata. Het communiceert hier halfjaarlijks over in speciale Microsoft Government Requests Reports. Duitsland deed in de laatste rapportageperiode 5.296 verzoeken aan Microsoft, bijna net zoveel als de Verenigde Staten. Duitsland doet de meeste dataverzoeken van alle Europese landen. Frankrijk volgde met ongeveer tweeduizend verzoeken en Oostenrijk telde 263 verzoeken. ‘Voor een land met de omvang van Oostenrijk is dat niet klein. Mensen realiseren zich vaak niet hoeveel data Europese overheden opvragen’, zei hij.
Tegelijkertijd wees Bullwinkel erop dat ook de Europese Unie zelf wetgeving invoert die vergelijkbare bevoegdheden biedt. De European Evidence Regulation, die volgend jaar van kracht wordt, zal het voor Europese politie- en opsporingsdiensten mogelijk maken data op te vragen van technologiebedrijven buiten de EU.
Geen reden voor paniek
Volgens Microsoft is er geen reden voor paniek onder Europese bedrijven over de Cloud Act. ‘Zorgen hierover zijn overdreven. Het gaat om zeer gerichte onderzoeken naar ernstige criminaliteit en het risico dat een bedrijf getroffen wordt, is praktisch nul’, aldus Bullwinkel. Tegelijkertijd geeft zijn uitspraak over OVHcloud en de internationale dataoverdracht stof tot discussie over datasoevereiniteit en de reikwijdte van Amerikaanse wetgeving buiten de VS.
het is precies deze reactie van Microsoft die zorgen baart.
Vragen om data in te zien kan altijd, dat zegt niets over de verplichting te moeten leveren.
als je gebruikmaakt van de Amerikaanse vestiging van OVHcloud – of de data staat formeel “in control of” de Amerikaanse entiteit – dan kan de Amerikaanse overheid data opeisen.
Europese data op Europese cloud valt dus buiten cloud act.
Het ligt eigenlijk nog allemaal net iets gecompliceerder, maar das des te meer reden om je data af te schermen van Amerikaanse betrokkenheid.
VS en Europa kijken verschillend tegen het soevereiniteit.
Bij ons heeft het ook een ethische kant, het recht om zelf te beslissen. Leuk voor bijvoorbeeld Oekraine en Palestina.
In Amerika gaat het om een ander recht, dat van de sterkste.
Tijd om volwassen te worden tenzij we door willen met thank you daddy.
De meneer gaat er even aan voorbij dat Amerikaanse bedrijven ook een geheime subpoena kunnen krijgen waarover ze niets mogen vertellen en wat zelfs strafbaar is als ze het wel doen. Zulke bevelen kunnen niet aan Europese bedrijven gegeven worden, dat zou onze soevereiniteit rechtstreeks schaden.
Dus er zijn genoeg redenen om over te stappen naar een Europese soevereine datacentra.
Natuurlijk gaan de Amerikaanse cloud-giganten nu allerlei vage praatjes houden om geen klanten te zien vertrekken. “Er zijn geen nieuwe bevoegdheden gecreëerd” betekent gewoon: “We konden dit altijd al maar jullie waren gewoon te onnozel om dat in te zien.”