Op grond van de CLOUD Act kan de Amerikaanse overheid data vorderen van Amerikaanse cloud providers als Google, Microsoft en Amazon. Ook als deze (persoons)gegevens buiten de Verenigde Staten zijn opgeslagen. Dit is natuurlijk in strijd met de AVG en inzage door Amerikaanse overheidsdiensten was één van de redenen dat het Privacy Shield nietig is verklaard. Grote vraag: hoe groot is de kans dat Europese gegevens ook echt worden ingezien door Amerikaanse inlichtingendiensten?
Wat is de CLOUD act?
De Amerikaanse Clarifying Lawful Overseas Use of Data (CLOUD) Act is sinds begin 2018 van kracht. Amerikaanse opsporings- en veiligheidsdiensten mogen op grond van de CLOUD Act gegevens vorderen van Amerikaanse providers van cloud services, zoals Microsoft, Google en Amazon. Dit geldt ook als die gegevens zijn opgeslagen op buitenlands grondgebied.
De CLOUD Act verschaft Amerikaanse inlichtingendiensten dus toegang tot Europese persoonsgegevens die verwerkt worden door Amerikaanse partijen.
Wat is de reikwijdte van de CLOUD Act?
Het Nationaal Cyber Security Centrum (NCSC) heeft deze zomer een memo gepubliceerd over de reikwijdte van de CLOUD Act. Uit de memo blijkt het volgende:
Europese entiteiten kunnen binnen het bereik van de CLOUD Act vallen, ook als ze buiten de Verenigde Staten zijn gevestigd.
Om ervoor te zorgen dat deze entiteiten volledig buiten de reikwijdte van de CLOUD Act vallen moeten ze persoonsgegevens verwerken met behulp van een niet-Amerikaanse entiteit, die ofwel:
geen zakelijke relatie heeft met een bedrijf dat aanwezig is in de VS (zoals een Amerikaanse dochteronderneming) en die onvoldoende contacten heeft met de VS om Amerikaanse jurisdictie te laten gelden over de EU-entiteit/niet-Amerikaanse entiteit (dit omvat ook het niet verkopen van producten of diensten aan klanten in de VS); of;
als het wel een zakelijke relatie heeft met een bedrijf gevestigd in de VS, dan mag dit bedrijf de gegevens die zijn opgeslagen in de EU niet bezitten, opslaan of controleren.
Sowieso wordt in de memo gesteld dat een Europese entiteit absoluut geen Amerikaanse moedermaatschappij mag hebben, omdat deze in het ‘bezit’ is van de data. Daarnaast wordt geadviseerd om geen Amerikaanse staatsburgers in dienst te nemen die toegang hebben tot relevante data.
Hoe groot is de kans dat de Amerikaanse overheid ook echt toegang krijgt tot Europese data?
Op basis van de memo ontving het Nationaal Cyber Security Centrum diverse keren de vraag hoe groot het risico is dat informatie in Europa wordt opgevraagd door de Amerikaanse overheid op basis van de CLOUD-act.
In opdracht van het NCSC heeft een internationaal advocatenkantoor een vervolgonderzoek gedaan naar deze vraag. Aan 3 grote aanbieders van cloud services (Microsoft, IBM en Amazon) is gevraagd hoe vaak er gegevens van Europese inwoners zijn opgevraagd en verstrekt. Volgens dit onderzoek zijn deze 3 aanbieders gezamenlijk groot genoeg om hier algemene conclusies aan te verbinden.
Wat blijkt op basis van dit onderzoek?
In de praktijk worden deze gegevens nauwelijks bij die 3 aanbieders opgevraagd. Amazon heeft dergelijke verzoeken nooit ontvangen en IBM heeft er één ontvangen en verworpen. Microsoft heeft 12 verzoeken over gebruikers buiten Amerika gehonoreerd. Het is echter niet duidelijk of en in hoeveel gevallen dit Europeanen betrof.
Het NCSC meldt op basis van dit onderzoek dat het risico dat de Amerikaanse overheid toegang krijgt tot Europese (persoons)gegevens, specifiek op basis van de CLOUD-act, weliswaar voorstelbaar, maar in de praktijk ook (heel) klein is.
Meer weten over het uitwisselen van data met Amerikaanse partijen?
Lees dan onze andere blogs:
Biden ondertekent Executive Order voor veilige gegevensuitwisseling: is deze wél AVG-proof?
Ook Amerikaanse clouddiensten onder vuur door strenge privacywetgeving
Persoonsgegevens doorgeven buiten de EU? Stap tijdig over op het nieuwe modelcontract!
Blijf op de hoogte!
Op de hoogte blijven van deze en andere ontwikkelingen in ICT Recht? Meld u dan nu aan voor onze maandelijkse nieuwsbrief en krijg onze blogs automatisch in uw inbox.