Bedrijfsdata Microsoft lijken niet veilig voor rechtsverzoeken

Microsoft moet van een federale rechtbank in de VS de gegevens overhandigen van een e-mail adres van Outlook. Maar die gegevens staan op een server in Ierland. Het bedrijf weigert daarom inzage en zegt dat het alleen aan de Ierse rechtbank zal gehoorzamen. Het incident laat weer eens zien dat locatie bij opslag van bedrijfskritische gegevens steeds belangrijker wordt.

Tot nu toe was het vooral theorie, maar nu is er dan toch ook concreet voorbeeld. Voor het eerst heeft een Amerikaanse rechtbank inzage geëist in gegevens van een Amerikaans bedrijf op niet-Amerikaans grondgebied.

Sinds de onthullingen door Edward Snowden zijn Europese bedrijven in toenemende mate huiverig geworden om hun data bij Amerikaanse partijen te parkeren, bang dat inlichtingendiensten of andere partijen toegang krijgen tot bedrijfsgeheimen van hun klanten. De leveranciers zijn zich hiervan in toenemende mate bewust. Eerder dit jaar kondigde VMware bijvoorbeeld aan dat het zijn vCloud Hybrid-aanbod voortaan levert vanuit een datacenter in de Engelse stad Slough om daarmee te voldoen het aan Europese compliance-eisen en regels voor datasoevereiniteit.

Het gaat bij Microsoft overigens om de gegevens van een persoon die betrokken is bij drugshandel en het witwassen van geld. Microsoft heeft wel informatie verschaft over het e-mailadres, maar wil de inhoud van de mail niet prijsgeven. De softwaregigant vindt dat de rechtbank zich niet kan beroepen op de Amerikaanse Constitutie en maar een rechtshulpverzoek moet indienen. Een Ierse rechtbank zal zich daarna over het verzoek moeten buigen.

Het gaat om een principiële zaak. Volgens Microsoft is er geen juridische basis voor federale agenten om ‘de deuren van Microsofts faciliteiten in Dublin’ in te trappen. Ook al is Microsoft een Amerikaans bedrijf met datacentra in de hele wereld, dat wil niet zeggen dat allerlei instanties daar zomaar toegang tot kunnen krijgen.

De Amerikaanse overheid denkt daar anders over en stelt dat Microsoft zich niet aan verzoeken kan onttrekken door gegevens in het buitenland op te slaan. Op die manier zouden criminelen makkelijk de Amerikaanse wetgeving kunnen ontlopen.

Het lijkt geen makkelijke discussie te worden. Volgens Orin S. Kerr, rechtenhoogleraar aan George Washington University, dient het Amerikaanse Congres zijn Electronic Communications Privacy Act (ECPA) uit 1986 aan te passen, want er zijn nu te veel onduidelijkheden over wat wel en niet kan worden opgevraagd en belangrijker, waar precies.

Voor niet-Amerikaanse bedrijven wordt het dus raadzaam om bij de opslag van gegevens bij hosting- of cloudleveranciers niet alleen te kijken naar hun nationaliteit, maar ook naar jurisdictie in het land waar de gegevens worden opgeslagen.

Het Amerikaanse advocatenkantoor White & Case vreest dat landen allerlei barrières op gaan werpen, waardoor Amerikaanse bedrijven niet over de grenzen heen gegevens kunnen ophalen. Brazilië heeft een wetsvoorstel klaarliggen waarin staat dat gegevens van Braziliaanse burgers alleen op servers in Brazilië opgeslagen mogen worden.