Mag de Amerikaanse justitie onze emailgegevens inkijken?

Europese gebruikers van Gmail, Hotmail en MSN zijn voorlopig veilig voor de lange arm van de Amerikaanse wet. Een Amerikaanse rechtbank besliste vorige week (14 juli 2016) dat de Amerikaanse justitie Microsoft niet kan dwingen emailgegevens over te leggen die in een Iers datacentrum waren opgeslagen. De beslissing zou echter zomaar een Pyrrusoverwinning kunnen zijn voor internationaal opererende Internetproviders en gebruikers bezorgd om hun privacy. Niet alleen kan de Amerikaanse justitie nog in beroep gaan bij het Amerikaanse Hooggerechtshof, ook kan het Amerikaanse Congres steeds een andersluidende wet aannemen. De beleidsvraag hierbij is hoe we een efficiënte bestrijding van de transnationale misdaad kunnen verzoenen met adequate gegevensbescherming en respect voor de soevereiniteit van andere landen.

Zoals bekend biedt Microsoft overal ter wereld clouddiensten aan. Die diensten zijn echter gesegmenteerd: de klantgegevens bevinden zich doorgaans in één of meerdere datacentra in de regio waar de klant zich bevindt. Microsoft zal daarom in principe de gegevens van iemand die opgeeft in Europa te wonen ook in Europa opslaan. Het probleem is dat Microsoft niet controleert of die persoon ook werkelijk in Europa woont. Dit creëert uiteraard mogelijkheden voor criminelen om gegevens met betrekking tot hun activiteiten in Europa te stallen. Op die manier kunnen ze ontsnappen aan de klauwen van de Amerikaanse justitie. Binnen de Europese Unie kunnen ze bovendien een beroep doen op een hoog niveau van gegevensbescherming. Verder kan het Europese land van gegevensopslag zijn soevereiniteit inroepen om ongewenste Amerikaanse interventie af te weren. In de zaak in kwestie ging het om gegevens van een MSN-emailadres die in een datacentrum in Ierland waren opgeslagen. Een dochteronderneming van Microsoft beheert dit centrum. De Amerikaanse justitie was van oordeel dat ze Microsoft – uiteindelijk een Amerikaans bedrijf – kon dwingen de in Ierland opgeslagen gegevens over te leggen, om die te gebruiken voor haar onderzoek in een grote drugszaak. Dat was technisch sowieso mogelijk voor Microsoft, zonder dat werknemers van Microsoft per se naar Ierland zouden moeten gaan. Microsoft weigerde echter, trok voor een rechtbank in eerste aanleg aan het kortste eind, maar haalde uiteindelijk in de beroepszaak zijn slag thuis. De rechtbank was met name van oordeel dat de relevante Amerikaanse wet niet uitdrukkelijk bepaalde dat hij ‘extraterritoriaal’ van toepassing kon zijn en dat justitie rekening diende te houden met de privacy van het individu en de belangen van andere landen.

Onafgezien van de precieze formulering van de wet, is de onderliggende principiële vraag – zowel in de VS als daarbuiten – of het wenselijk is dat justitie Internetproviders nooit mag dwingen emailgegevens over te leggen die ze om louter technische redenen in het buitenland opslaan. Het lijkt me dat privacy en staatssoevereiniteit, hoewel uiteraard belangrijke overwegingen, niet in alle gevallen aan dwangbevelen in de weg kunnen staan. Transnationale misdaad moet immers effectief bestreden kunnen worden. Toegegeven, in eerste instantie zou justitie haar buitenlandse evenknie vriendelijk moeten verzoeken de gezochte gegevens over te leggen. Maar die samenwerking loopt helaas niet altijd even vlot. Justitie zou daarom de mogelijkheid moeten hebben om eenzijdig op te treden, uiteraard binnen bepaalde grenzen. Relevante criteria om die grenzen af te bakenen kunnen zijn: de nationaliteit van de verdachte, de ernst van het misdrijf, de waarschijnlijkheid dat de gegevens cruciale informatie voor het onderzoek opleveren, en de kans op goede samenwerking met de andere staat. Nationale wetgevers moeten dringend dit debat voeren. We moeten immers voorkomen dat criminelen het grenzeloze karakter van het Internet misbruiken om aan de arm der wet te ontsnappen. De laakbare praktijken van de Amerikaanse National Security Agency indachtig, moeten we er tegelijk op toezien dat we geen vrijbrief geven aan wetsdienaars, en zeker buitenlandse wetsdienaars, om zomaar onze emailgegevens in te kijken.

Dit bericht werd geplaatst in Europese kernwaarden en getagged met , , , , , op door .
Cedric Ryngaert

Over Cedric Ryngaert

Cedric Ryngaert (1978) is hoogleraar internationaal recht. Hij studeerde rechten aan de Universiteit Leuven (2001), promoveerde aan dezelfde universiteit in 2007 op een proefschrift over rechtsmacht in het volkenrecht, en trad vervolgens in dienst bij de Universiteit Utrecht. Zijn onderzoek betreft het rechtsmachtrecht, immuniteiten, niet-statelijke actoren, sancties, international organisaties, internationaal strafrecht en de rol van het internationaal recht voor nationale rechtbanken. Hij is de auteur van onder meer Jurisdiction in International Law (OUP 2015, 2nd ed), Selfless Intervention: The Exercise of Jurisdiction in the Common Interest (OUP 2020), en, met Tom Ruys, Secondary Sanctions (British Yb Int’l L 2020). Hij ontving eerder VENI, VIDI en ERC Starting Grant subsidies. Hij is lid van de Commissie Advies Volkenrechtelijke Vraagstukken en hoofdredacteur van de Netherlands International Law Review en de Utrecht Law Review.