VS krijgt deksel op de internationale neus
- 21 juli 2016
Vorige week besliste de Amerikaanse rechter in hoger beroep over een belangrijke zaak: mag de Amerikaanse overheid gegevens vorderen bij een Amerikaans bedrijf als die gegevens niet in Amerika zijn opgeslagen? Het is een exemplarisch voorbeeld van een internationaal probleem.
Het is een kwestie die al speelt zolang overheden grip willen hebben op het internet en digitale communicatie. De gegevens die we downloaden of uploaden, de apps die we gebruiken, sites die we bezoeken en e-mails die we versturen: die gegevens bevinden zich vaak niet in het land waar de gebruiker woont.
Soevereiniteit moet je doen
Op basis van het internationale recht is het niet de bedoeling dat landen op eigen houtje in andere landen vorderingen aan bedrijven richten. Landen moeten elkaars grenzen en soevereiniteit respecteren. En dat valt overheden nogal lastig in het digitale tijdperk. Want waar moeten die opsporingsdiensten dan aankloppen? Bij het land waar de data is opgeslagen – als dat al duidelijk is -, bij de lokale vestiging van de dienst in het land waar de gebruiker zich bevindt, of in het land waar de hoofdvestiging van het bedrijf is?
Stel dat een Nederlandse verdachte gebruik maakt van een Amerikaanse dienst, zoals Outlook, en Nederlanse opsporingsdiensten willen de gegevens van die gebruiker hebben, dan moeten die opsporingsdiensten een rechtshulpverzoek bij de Verenigde Staten indienen. Als dat rechtshulpverzoek wordt goedgekeurd, dan kunnen de gegevens naar Nederlandse opsporingsdiensten. Op die rechtshulpverzoeken is veel kritiek, voornamelijk omdat ze volgens overheden, waaronder ook de Nederlandse, te traag verlopen.
VS vorderde gegevens bij Microsoft
De Amerikaanse overheid worstelt ook met dit probleem en wilde gegevens die Microsoft had van een gebruiker. De zaak rechter stond voor de volgende vraag: als een Amerikaans bedrijf gegevens opslaat buiten de Verenigde Staten, mogen de Amerikaanse opsporingsdiensten dan die gegevens vorderen?
Microsoft zei: “Luister, die gegevens zijn opgeslagen buiten de Verenigde Staten – en de wet is niet zo bedoeld dat je gegevens kunt vorderen die zich buiten de VS bevinden.” De regering van de Verenigde Staten was het daar natuurlijk mee oneens. De regering gaf aan dat het er om zou moeten gaan of Microsoft (een Amerikaans bedrijf) bij die gegevens zou kunnen – dat die gegevens van een server uit het buitenland zou moeten komen is van ondergeschikt belang.
De rechter – nu in hoger beroep – heeft Microsoft gelijk gegeven. Maar het is wel een wetstechnisch gelijk. De rechter zegt niet: als gegevens zich niet in de VS bevinden dan mogen die gegevens nooit worden overgedragen. De rechter zegt wel: de wet was uit 1986 en had deze problematiek nooit voorzien. Daarbij moet je erg voorzichtig zijn met het schenden van de soevereiniteit van andere landen – en dat betekent dat tenzij in de wet duidelijk is vastgelegd dat vorderingen grensoverschrijdend mogen werken, dat niet mag.
Glashelder dus, maar niet helemaal bevredigend. Het is nu natuurlijk wachten op een wetswijziging waardoor dit soort vorderingen wél rechtmatig gegeven kunnen worden. Bovendien zal de zaak van Microsoft vs de VS ongetwijfeld naar de Supreme Court gaan. Dus zullen de hoogste rechters in de VS beslissen hoe er met de gegevens die buiten de VS wordt opgeslagen. En daarmee, laten we dat niet vergeten, over de privacy van niet-Amerikanen. Opnieuw een nationaal antwoord op een internationaal probleem.
Eenzijdig handelen in plaats van samenwerken
En dat past in een tendens, niet alleen in de VS, maar wereldwijd, om in plaats van samenwerking te zoeken te kiezen voor eenzijdig handelen. En dat komt de rechtsbescherming van de burger niet ten goede. Stel bijvoorbeeld dat de Amerikaanse overheid onderzoek wil doen naar jou. Als zij jou mogen hacken of zij doen verzoeken bij je e-mailprovider, dan zijn er (in de praktijk) een stuk minder beschermingsmechanismes dan wanneer de Nederlandse politie je gegevens opvraagt. Dat heeft namelijk ook te maken met hoe eenvoudig het voor je is om daarover te klagen. En het is in Nederland al lastig om te achterhalen of je onderwerp van onderzoek door de politie bent geweest – of daarover te protesteren – laat staan als dat een buitenlandse overheidsdienst is.
Die tendens zie je in tal van situaties. Neem bijvoorbeeld de controversiële wijziging van rule 41, waardoor de VS buiten de landsgrenzen zou mogen gaan hacken. Of de Nederlandse regering, die in het buitenland hacken ook niet zo´n probleem vindt. Ook zijn er Amerikaanse voorstellen om rechtshulpverzoeken te vereenvoudigen door ze omzeilen.
Het zijn stuk voor stuk gevaarlijke oplossingen voor een legitiem probleem. Als de Nederlandse politie een verdachte in het vizier heeft, dan moeten ze de mogelijkheid hebben om de gegevens van die verdachte op te vragen. Of dat nou in Oezbekistan, de VS of Nederland is. Maar nu wint kortzichtig handelen keer op keer van een werkbare situatie voor de lange termijn.
Een recept voor betere samenwerking
Het zou dus beter zijn om de internationale samenwerking te verbeteren. Het versnellen van rechtshulpverzoeken zou een prioriteit moeten zijn. Maar er zijn ook andere oplossingen denkbaar – elk overigens met zijn eigen problemen. Bijvoorbeeld: Waarom niet binnen Europa afspraken maken over grensoverschrijdende vorderingen? Als gegevensbescherming in toenemende mate geharmoniseerd wordt, is het misschien ook tijd om op andere gebieden meer te harmoniseren.
Een andere optie zou kunnen zijn dat bedrijven die in een land een dienst aanbieden, ook moeten voldoen aan vorderingen van de overheid uit dat land. Dus: biedt een Amerikaans bedrijf een dienst aan in Nederland, dan zou de Nederlandse politie ook de gegevens direct moeten kunnen vorderen, zonder rechtshulpverzoeken.
Wij weten nog niet precies wat de beste oplossing is, dus als je suggesties hebt, laat het ons dan vooral weten! Wat we nu al wel zeker weten: deze internationale problemen verdienen een internationale oplossing.