Europese data blijft uit handen van de Amerikaanse overheid

Op 14 juli jl. heeft Microsoft een rechtzaak gewonnen tegen de Amerikaanse overheid. Uitkomst van die zaak is dat Microsoft geen data hoeft te verstrekken die is opgeslagen op een server in Ierland.

Stored Communications Act

Op grond van de Stored Communications Act kan de Amerikaanse overheid data opvragen bij Amerikaanse bedrijven. Ook persoonsgegevens kunnen op grond van deze wetgeving opgevraagd worden. De overheid gelastte Microsoft de data van een web-based Outlook e-mailaccount te verstrekken, omdat vermoed werd dat het account gebruikt werd voor drugshandel. Microsoft verstrekte de in de VS opgeslagen algemene accountgegevens aan de overheid. Microsoft weigerde echter de volledige inhoud van de e-mailbox vrij te geven, omdat deze data zich bevond op een server in Ierland. Microsoft spande een zaak aan tegen de Amerikaanse overheid om het bevel tot het verstrekken van de Ierse data ongeldig verklaard te krijgen.

Geen toegang tot gegevens in Europa

De discussie tussen Microsoft en de Amerikaanse overheid ging over de reikwijdte van het overheidsbevel tot het verstrekken van de data. Microsoft was van mening dat het bevel slechts werking had ten aanzien van data die zich in de VS bevond, terwijl de overheid bepleitte dat het bevel ook internationale werking had. Nadat de rechter in eerste instantie bepaalde dat de data uit Ierland ook verstrekt diende te worden, werd Microsoft in hoger beroep toch in het gelijk gesteld. De US Court of Appeals overwoog dat de Stored Communications Act als onderdeel van de Electronic Communications Privacy Act uit 1986 bedoeld was om de privacy van gebruikers te beschermen in het licht van nieuwe technologieën die aangeboden worden door Service Providers. Het bevel tot verstrekken van informatie dat de Amerikaanse overheid op grond van deze wetgeving kan doen is niet bedoeld een grensoverschrijdende werking te hebben. Aan het in de wet opgenomen bevel zijn verschillende voorwaarden verbonden, zodat de privacy van gebruikers juist beter is beschermd. Een grensoverschrijdende werking zou leiden tot minder bescherming van gebruikers. De Court of Appeals oordeelde dan ook dat de verplichting tot het verstrekken van data zich beperkt tot data die zich op Amerikaans grondgebied bevindt.

Belang van de uitspraak

Voor Microsoft is deze uitspraak heel belangrijk. Amerikaanse bedrijven als Microsoft en Amazon zitten in een spagaat ten aanzien van privacywetgeving. Op grond van Europese wetgeving moeten zij garanderen dat derde partijen zich geen toegang kunnen verschaffen tot persoonsgegevens en op grond van Amerikaanse wetgeving kunnen zij verplicht worden gesteld om deze toegang juist wel te verschaffen. Dit is de reden dat het doorgeven van persoonsgegevens aan Amerikaanse bedrijven ter discussie staat. Lees daarover ook mijn post over het EU-VS Privacy Shield dat op 12 juli jl. in werking is getreden.

Server in Europa biedt voordelen

Onder meer om te voldoen aan de eisen van de Europese privacywetgeving hebben veel Amerikaanse bedrijven serverlocaties in Europa waar zij Europese data stallen. Dat heeft uiteraard alleen zin als de Amerikaanse overheid zich geen toegang kan verschaffen tot deze Europese data. Nu Microsoft deze zaak gewonnen heeft kunnen Amerikaanse bedrijven Europese partijen meer zekerheid bieden dat de Amerikaanse overheid zich niet zonder meer toegang kan verschaffen tot Europese (persoons)gegevens die zijn opgeslagen in Europa. Europese serverlocaties van Amerikaanse bedrijven bieden een betere bescherming van data dan Amerikaanse serverlocaties.