Waarom is de Patriot Act nou eigenlijk een probleem voor cloudgebruikers?

17 oktober 2011 door Arnoud Engelfriet

Wie privacygevoelige gegevens in de cloud wil stoppen, is het vast eens tegengekomen: het argument “pas op, dat mag niet, want de Patriot Act laat de FBI zomaar grasduinen in die data”. Waarom en hoe dat precies werkt, is echter moeilijk te vinden. Ik ben er eens ingedoken maar werd er niet veel wijzer van.

Volgens Europese privacywetgeving moet een partij die persoonsgegevens (namen, adressen en andere tot personen herleidbare informatie) opslaat of verwerkt, zorgen voor adequate beveiliging daarvan. Ook moet men zorgen dat de gegevens binnen de EU blijven. Export naar andere landen mag alleen als dat land een “passend beschermingsniveau” waarborgt.

Wat precies “passend” is, staat niet in de wet, maar dat de VS het niet heeft, is algemeen aanvaard. Zie bijvoorbeeld deze Brein-zaak uit 2005, die afknapte op het gebruik van een Amerikaans recherchebureau.

Een Amerikaans bedrijf kan dit probleem oplossen door zich bij het zogeheten Safe Harbor-framework aan te sluiten. Alleen dan mogen persoonsgegevens vanuit de EU naar dit bedrijf worden gegeven (controleer dus of ze op deze lijst staan). Zo staan Amazon, Google en Rackspace op de lijst zodat ze in principe dus ‘veilig’ zijn. Zij beloven zich aan de strenge Europese regels te conformeren. Of toch niet?

De Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001 oftewel de Patriot Act is in reactie op 9/11 aangenomen om informatie te vergaren over en op te treden in geval van mogelijk terrorisme. De mogelijkheden voor opsporings- en inlichtingendiensten werden sterk verbreed. Zo mag de FBI bij een vermoeden van terrorisme mensen aftappen zonder een gerechtelijk bevel en kan men veel informatie opvragen bij internetdienstverleners, met vrijwel geen toezicht door de rechter.

Met de Patriot Act in de hand kan de FBI dus ook bij een Amerikaanse cloudaanbieder aankloppen en gegevens opeisen. Ook wanneer het gaat om data die van een Europese klant is verkregen en die onder het Safe Harbor-framework valt.

Natuurlijk kent ook Europese privacywetgeving een mogelijkheid voor afgifte van persoonsgegevens aan de bevoegde autoriteiten. Maar daar zitten de nodige waarborgen aan, zoals dat een rechter moet bepalen dat de afgifte plaats moet vinden. In de VS geldt dat in principe ook (het staat zelfs in de Grondwet), maar specifiek in het kader van antiterrorisme mag er veel meer. Met name mag een rechter zo’n bevel afgeven zonder de wederpartij te horen.

NSL met gag order, 2004

De meest controversiële bepaling is de National Security Letter, een bevel van de FBI om data af te geven omdat dat voor de staatsveiligheid relevant zou zijn. Een dergelijk bevel wordt niet bij de rechter getoetst. Ook mag de ontvanger van het bevel niet onthullen dat hij het heeft gekregen – een gag order.

Een NSL wordt niet alleen gebruikt in een concreet onderzoek naar een verdachte van terroristische activiteiten, maar ook bij wijze van algemeen middel van informatievergaring. De New York Times meldde hierover:

In many cases, the target of a national security letter whose records are being sought is not necessarily the actual subject of a terrorism investigation and may not be suspected at all. Under the USA PATRIOT Act, the F.B.I. must assert only that the records gathered through the letter are considered relevant to a terrorism investigation.

Minstens zo opmerkelijk is de conclusie die diverse Amerikaanse bedrijven – waaronder Microsoft – trokken: zij moeten ook data opgeslagen in Europa aan de FBI geven als die zich op de Patriot Act beroept. Het bedrijf schrijft immers:

As a general rule, customer data will not be transferred to datacenters outside that region. There are, however, some limited circumstances where customer data might be accessed by Microsoft personnel or subcontractors from outside the specified region (e.g., for technical support, troubleshooting, or in response to a valid legal subpoena).

Dit kun je maar op één manier lezen: als de FBI het vraagt, wordt er data vanuit Europa opgestuurd naar de Amerikaanse federale politie.

De grote vraag is nu: doet men dit ook werkelijk, of loopt iedereen zich zorgen te maken over een theoretisch probleem? Het indekken in algemene voorwaarden is bijvoorbeeld geen bewijs dat men werkelijk met een probleem zit. Het is goed denkbaar dat iedereen dit doet om zichzelf te beschermen voor het geval dat het een keer gaat gebeuren. En dat je vervolgens draait en vage antwoorden geeft, kan ook bewijs zijn dat je net als iedereen niet exact weet wat die wet eist.

De Washington Post meldde dat tussen 2003 en 2006 de FBI 192.499 van deze bevelen uitgaf. Nadat in 2007 de gag order ongrondwettig werd verklaard, zouden de aantallen wat gedaald zijn maar recentere cijfers kan ik niet vinden. Ook is nergens uitgesplitst hoe vaak er aan internetproviders of clouddienstverleners is bevolen data af te geven.

Verder dan dit kom ik niet. Ik weet dat er veel geschreven is, maar verder dan “dit kan een probleem zijn” en “kijk uit” kom ik niet. Wie weet er meer?

Over Arnoud Engelfriet partner

Gespecialiseerd in complexe technisch/juridische ICT-vraagstukken, octrooien en softwarelicenties.

Er zijn 8 reacties

  1. Eric Burger op maandag 17 oktober 2011 om 13:06

    hi Arnoud, goed om daar in te duiken! Ik mis in je artikel een verwijzing of link naar de relevante artikelen in ‘Europese privacywetgeving’. Ik neem aan dat je daar wel in kunt voorzien?
    Succes,
    Eric

  2. Arnoud Engelfriet (ICTRecht) op maandag 17 oktober 2011 om 13:18

    Een goed startpunt is de Artikel 29 werkgroep. Dit is het overlegorgaan van Europese privacytoezichthouders, en dat produceert regelmatig relevante artikelen.

  3. Jan-Jaap Oerlemans op maandag 17 oktober 2011 om 15:53

    Interessant Arnoud. Ik denk dat de Amerikanen vanuit een ander gezichtspunt redeneren. Alle data van een Amerikaans bedrijf valt wellicht onder Amerikaanse jurisdictie en opsporingsdiensten kunnen die data onder Amerikaanse regelgeving vorderen. Dit weet ik niet zeker en zoek ik verder uit in het kader van mijn proefschrift.
    Overigens zijn gegevens bij een derde partij onder de ‘third party-doctrine’ niet beschermd onder de Amerikaanse grondwet, maar is het vorderen geregeld via de ‘Stored Communications Act’. Daarbij kan met een soort dagvaarding en onder omstandigheden zonder toestemming van de rechter gegevens worden gevorderd van ISP’s en ‘remote storage providers’. Dat stukje klopt dus niet helemaal. Het is wel zo dat de Patriot Act de bevoegdheden van opsporingsambtenaren in het kader van terrorisme m.b.t. het vorderen van gegevens verder uitbreidt. De details daarvan weet ik ook niet precies. In elk geval wel goed en leuk dat je er aandacht aan geeft!

  4. Arnoud Engelfriet (ICTRecht) op maandag 17 oktober 2011 om 15:59

    Dank voor de toelichting Jan-Jaap. Die SCA zal ik eens nalezen, maar het lijkt op hetzelfde neer te komen: een Amerikaanse provider moet data van een Europese klant afgeven als de FBI daarin wil grasduinen. Of zie jij mogelijkheden om dit te verhinderen?

  5. Jan-Jaap Oerlemans op maandag 17 oktober 2011 om 16:06

    Lijkt inderdaad op hetzelfde neer te komen. Een provider kan de dagvaarding proberen te vernietigen bij een rechter voordat de gegevens worden afgegeven in tegenstelling tot een search warrant, waarbij er pas achteraf een probleem kan worden gemaakt. Als het verzoek niet te gek is en voldoet aan Amerikaanse regelgeving is mijn inschatting dat er niet zo snel een probleem van wordt gemaakt. Kost bovendien veel geld naar de rechter te stappen..

  6. Wout de Natris op dinsdag 18 oktober 2011 om 00:14

    Er staat me een recent artikel bij over de FBI die standaard gegevens bij Google vordert. Ik heb even geen tijd om het uit te zoeken, maar een Google search geeft zeker antwoord.

    Is het overigens een idee om iemand uit de V.S. te laten reageren? Ik denk bijvoorbeeld aan Milton Mueller. Hij heeft hier beslist kennis van en zeker een mening.

  7. Arnoud Engelfriet (ICTRecht) op dinsdag 18 oktober 2011 om 08:40

    Dat speelde in 2008 inderdaad. Maar meer dan “waarschijnlijk doen ze het” kan ik niet vinden, en al helemaal niets uit recenter tijden.

    Ik ga Mueller mailen maar eerlijk gezegd betwijfel ik of er iemand is die kán vertellen wat er gebeurt onder de Patriot Act en dat ook mág. Zij die het weten, vallen onder national security, vermoed ik.

  8. Remy Lang op maandag 14 november 2011 om 15:17

    Arnoud, is het gelukt om een reactie te krijgen van Milton Mueller?

Plaats een reactie

Uw reactie wordt onder bovengenoemd artikel geplaatst. ICTRecht behoudt zich het recht voor om reacties te verwijderen. Alle reacties zijn te allen tijde voor verantwoordelijkheid van de inzender.