De kans dat de Amerikaanse overheid persoonsgegevens van Europeanen kunnen inzien op basis van de CLOUD-Act, is in praktijk heel klein. Dat betekent dat het in principe niet uitmaakt of bedrijven hun gegevens opslaan bij Europese of Amerikaanse leveranciers. Of dat ook geldt voor landen met hun eigen extraterritoriale wetgeving, is niet onderzocht.
Dat schrijft het Nationaal Cyber Security Centrum (NCSC) (1). Het adviesorgaan vroeg aan advocatenbureau Greenberg Traurig om te onderzoeken hoe groot het risico is dat informatie in Europa kan worden opgevraagd door de Amerikaanse overheid op basis van de CLOUD-Act.
De CLOUD-Act is een acroniem dat staat voor Clarifying Lawful Overseas Use of Data Act. Daarin beschrijft de Amerikaanse overheid de spelregels voor de opslag, het transport en de verwerking van informatie. Tevens legt de wet afspraken vast over gegevensbescherming en informatiebeveiliging. De CLOUD-Act maakt het voor Amerikaanse inlichtingendiensten mogelijk om, via een bevelschrift of dagvaarding, van techbedrijven te eisen dat ze gegevens van gebruikers overhandigen. Het maakt daarbij niet uit of deze data in de VS of daarbuiten zijn opgeslagen.
In augustus publiceerde Greenberg Traurig een onderzoek naar de werking van de CLOUD-Act bij dataopslag in Europa. Veel experts gingen ervan uit dat er weinig tot geen risico bestaat als data wordt verwerkt door een Europese dienstverlener. In de praktijk ligt dat een stuk genuanceerder, zo concludeerde het advocatenbureau.
Eén van de conclusies luidde dat Europese bedrijven wel degelijk onder druk gezet kunnen worden door niet-Europese regelgeving. “Ook data en (persoons)gegevens die in Europa worden verwerkt en opgeslagen, en dus in beginsel in Europa zijn en blijven, vallen soms onder Amerikaanse wetgeving en kunnen door de Amerikaanse overheid worden opgevraagd op basis van de CLOUD-Act”, zo beschreef Greenberg Traurig in haar analyse van de CLOUD-Act (2).
Vreemd is de conclusie van het advocatenkantoor niet. De Algemene Verordening Gegevensbescherming (AVG) werkt op dezelfde manier. De Europese privacywetgeving is niet alleen van toepassing binnen de Europese Economische Ruimte (EER), maar geldt ook in andere delen van de wereld. Dat noemen we ook wel extraterritoriale wetgeving.
Zo eist de AVG dat de dataopslag en -verwerking in landen buiten de EU een vergelijkbaar beschermingsniveau genieten. Het Europees Hof van Justitie oordeelde in de zomer van 2020 dat dit niet het geval was in de VS. Daarom zette de rechtbank een streep door het Privacy Shield. Momenteel ligt er een principeakkoord op tafel. Onderhandelaars zijn momenteel druk bezig om de laatste details van de overeenkomst uit te werken.
Ook buiten de EU en VS is er vergelijkbare wet- en regelgeving. De bekendste daarvan is de Chinese Data Security Law. Deze wetgeving regelt niet alleen de dataverwerking en -uitwisseling in China, maar ook daarbuiten. Op het moment dat gegevens mogelijk van belang zijn voor de nationale veiligheid of maatschappelijke belangen van China, zijn bedrijven verplicht om data te overhandigen aan de regering, geheime dienst of het Volksbevrijdingsleger.
Nadat Greenberg Traurig haar bevindingen presenteerde, kreeg het NCSC verschillende malen de vraag hoe groot het risico is dat informatie in Europa wordt opgevraagd door de Amerikaanse overheid op basis van de CLOUD-Act. Het adviesorgaan besloot opnieuw om het advocatenkantoor in de armen te nemen en een antwoord te formuleren op deze vraag.
Het onderzoek toont aan dat de Amerikaanse overheid met behulp van de CLOUD-Act toegang kan krijgen tot Europese persoonsgegevens. In praktijk is die kans echter heel klein. Aan de andere kant van de oceaan moet namelijk een integrale risicoanalyse worden gemaakt. Daarbij moet een scherp onderscheid worden gemaakt tussen hypothetische risico’s en daadwerkelijke risico’s. Het is moeilijk om dat verschil glashelder te formuleren.
“Dit inzicht is belangrijk voor organisaties bij het maken van risicoafwegingen rondom de inzet van bepaalde digitale diensten en voorzieningen”, concludeert het NCSC. De instantie zegt dat het “in principe niet uitmaakt of organisaties gegevensverwerkingen en/of -opslag beleggen bij Amerikaanse leveranciers, óf dat ze dit doen bij Europese leveranciers onder Amerikaanse jurisdictie”.
Het NCSC benadrukt dat alleen de impact van de extraterritoriale wetgeving van de CLOUD-Act voor gegevensverwerking en -opslag in Europa in kaart is gebracht. Dat zegt niets over de risico’s van dergelijke wetgeving uit andere landen. Daarvoor is meer onderzoek nodig.
https://www.ncsc.nl/actueel/weblog/weblog/2022/kleine-kans-dat-amerikaanse-overheid-toegang-krijgt-tot-europese-gegevens-op-basis-van-de-cloud-act
https://www.ncsc.nl/actueel/weblog/weblog/2022/de-werking-van-de-cloud-act-bij-dataopslag-in-europa
