De werking van de CLOUD-Act bij dataopslag in Europa

Expertblogs

Ook Europese bedrijven met dataverwer­kingen in Europa vallen soms onder de werking van de Amerikaanse CLOUD-Act. Hierdoor kan in Europa opgeslagen data toegankelijk zijn voor de Amerikaanse overheid. Het voor­beeld van de CLOUD-Act laat zien wat de gevolgen zijn van wetgeving als die een extraterritoriale werking heeft. Wetgeving in het digitale domein heeft steeds vaker zo’n extraterritoriale werking. Dit maakt de beveiliging van informatie in de EU en het voldoen aan de EU en nationale wet- en regelgeving op het gebied van informatiebeveiliging en dataprotectie moeilijker. Zijn er mogelijkheden om deze risico’s te verkleinen? Het NCSC liet een vooraanstaand advocatenkantoor het uitzoeken.

De CLOUD-Act

Informatieverwerking in het digitale domein is een internationale aangelegenheid. De opslag, het transport en de verwerking van informatie trekt zich vaak niets aan van landsgrenzen en laat zich daar­door zeker niet beperken. Daarnaast, en deels ook daardoor, maken landen wet- en regel­geving voor het digitale domein die ook van invloed is op gegevensverwerkingen buiten de eigen landsgrenzen. Gegevensver­werkingen krijgen hierdoor te maken met verschillende wet- en regel­gevingsregi­mes, die met elkaar kunnen conflicteren of interfereren. Bijvoorbeeld maatregelen die gelden voor de beveiliging van, of juist het toegang verlenen tot, gevoelige infor­ma­tie en (persoons)­gegevens.

Eén van de meest besproken voorbeelden van botsende wetgeving is die tussen de Ame­rikaanse CLOUD-Act (voluit Clarifying Lawful Overseas Use of Data Act) en Europese regels op het gebied van gegevensbescherming en informatiebeveiliging. Europese data die in de VS wordt verwerkt of opgeslagen moet daar beveiligd worden volgens de Europese General Data Protection Regulation (GDPR, in Nederland de AVG). Tegelijkertijd valt deze data ook onder het Amerikaanse wettelijke regime dat toeziet op de toegang tot die data. De CLOUD-Act maakt het mogelijk dat de federale rechtshandhaving in de Verenigde Staten technologiebedrijven via een bevelschrift of dagvaarding kan dwingen de gevraagde gegevens van gebruikers te verstrekken, ook al zijn die gegevens opgeslagen op buitenlands grondgebied. Veel deskundigen gaan ervan uit dat dit risico niet bestaat als data wordt verwerkt door een Europese dienstverlener, en zeker als dat gebeurt binnen Europa. Juri­disch gezien ligt dat echter genuanceerder en geldt dat de Amerikaanse CLOUD-Act ook van toepassing kan zijn op gegevensverwerkingen buiten de VS, bijvoorbeeld in de EU.

Het NCSC heeft het advocatenkantoor GreenbergTraurig gevraagd dit vraagstuk te duiden met als kernvraag:

  • In hoeverre kan een Europees bedrijf of organisatie onder de CLOUD-Act vallen, zelfs wanneer deze niet in de VS is gehuisvest?

De impact van extraterritoriale wetgeving

Eén van de centrale conclusies is dat, in tegenstelling tot wat vaak wordt aan­genomen, Europese bedrijven en dataopslag in Europa niet immuun zijn voor niet-Europese wetgeving, zoals de Amerikaanse CLOUD-Act. Ook data en (persoons)gegevens die in Europa worden verwerkt en opgeslagen, en dus in beginsel in Europa zijn en blijven, vallen soms onder Amerikaanse wetgeving en kunnen door de Amerikaanse overheid worden opgevraagd op basis van de CLOUD-Act. En dat kan soms zelfs bij Europese bedrijven die die verwerking en opslag volledig in Europa doen. GreenbergTraurig gaat in hun analyse vrij uitgebreid in op de condi­ties en omstandig­heden waarin dit speelt en bespreekt een aantal maatregelen die getroffen kunnen worden om dit risico zoveel mogelijk te beperken.

De analyse betreft de extraterritoriale werking van de CLOUD-Act in Europa. Met extra­terr­itoriaal bedoelen we dat wetgeving niet alleen van toepassing is binnen de grenzen van het land dat die wetgeving heeft gemaakt (in dit geval de VS), maar dat het ook van toepassing is elders in de wereld – hier hebben we dus gekeken naar de werking binnen de EU. Het maken van wetgeving die zowel binnen als buiten landsgrenzen toepasbaar is gebeurd wereldwijd steeds vaker – vooral voor het digitale domein. Een bekende, al langer bestaande is de GDPR (in Nederland de AVG), die niet in alleen geldt in de EU maar ook voor Europese dataverwerkingen daarbuiten. Ook andere Europese wetgeving zoals de Digital Markets Act (DMA) en Digital Services Act (DSA) werken op deze manier. Ook buiten de EU en de VS wordt steeds vaker datawetgeving geïntroduceerd met een extraterritoriale werking; van Australië en Zuid-Afrika tot aan India en China. Die laatste is relevant omdat hard- en software (maar ook andere vormen van digitale dienstverlening) steeds vaker uit China komt. Eén van die Chinese wetten met een extra­territoriale werking is de Data Security Law. De DSL is in zekere mate een reactie op de Amerikaanse CLOUD-Act en regelt de verwerking van data in China, maar ook data of informatie buiten China op het moment dat die ‘relevant is voor de nationale veiligheid of andere maatschappelijke belangen van China.’

De analyse van GreenbergTraurig gaat slechts over één van de extraterritoriale wetten die vanuit buiten de EU ingrijpen op de beveiliging van informatie en data binnen de EU. De US CLOUD-Act is de meest bekende en best geanalyseerde van deze wetten en daarom hier als voorbeeld gekozen. Er zijn dus nog meer, waarvan het niet geheel helder is wat de precieze impact is of zal zijn op dataverwerkingen in de EU of bij Europese digitale dienstverleners.

De analyse laat zien dat het, alleen al in het geval van de US CLOUD-Act, heel lastig is voor een gegevenseigenaar of verwerkingsverantwoordelijke om vast te stellen of er bij een dienst of dienstverlener sprake is van extraterritoriale invloeden van niet-Europese wetgeving. Dit wordt niet alleen bepaald door verschillende factoren bij de leverancier maar ook van de supply chain en de bedrijven die daarin actief zijn. Dit vraagt om een gedegen risicoanalyses maar ook om het besef dat het feitelijk niet goed mogelijk is extraterritoriale invloeden volledig uit te sluiten. Naarmate interna­tionaal de inzet van extraterritoriale wetgeving verder groeit – en dat zal de komende jaren naar ver­wach­ting zeker het geval zijn voor wetgeving op digitaal gebied – zal de com­plexiteit in de praktische toepassing en naleving van dergelijke (Europese) wetgeving alleen maar toenemen. Organisaties en bedrijven moeten zich daarbij steeds afvragen tegen welke extraterritoriale wettelijke regimes, en daarmee landen, zij zich wel en niet willen en kunnen wapenen en wat dat precies betekent in termen van leverancierskeuze en de inzet van aanvullende beheersmaatregelen. In termen van compliance betekent het echter ook dat bedrijven en organisaties feitelijk steeds minder goed kunnen garanderen of zeker stellen dat de informatie die zij verwerken voldoende beschermd is tegen het inzien door vreemde, een niet-Europese, mogendheden.

Geschreven door:
Paul van den Berg, 
Strategic Vendor Relations Cybersecurity

Reactie toevoegen

U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.

* verplichte velden

Uw reactie mag maximaal 2000 karakters lang zijn.

Reacties

Er zijn nu geen reacties gepubliceerd.