Dat is een van de gevolgen van de nieuwe Europese wet op de informatiebescherming, de Data Protection Regulation. Dat nieuwe wetsvoorstel beschermt niet tegen de zo geheten Patriot Act. Dat is een wet waarmee de Amerikaanse autoriteiten onder meer de overdracht van data kunnen eisen van Amerikaanse bedrijven, ook als die data is opgeslagen in in datacenters die op Europese bodem staan. Daardoor kunnen de Amerikanen, als de overheid daar opdracht toe geeft, graaien in de privé-informatie van Europeanen die bijvoorbeeld is opgeslagen op de servers van bedrijven als Google, Microsoft en Oracle.

Eurocommissaris Neelie Kroes zei maandag in een toespraak bij een Microsoft-evenement in Brussel dat het niet uitmaakt waar de cloud provider is gevestigd “in Madrid, Mumbai of Mountain View" en dat “onze regels voor de data moeten gelden". Met die regels bedoelt ze de nieuwe Data Protection Regulation. Het moet volgens Kroes niet uitmaken waar een Europeaan zijn data heeft opgeslagen, die data moet altijd onder de Europese wet- en regelgeving vallen.

Maar navraag bij Eurocommissaris Viviane Reding, verantwoordelijk voor de nieuwe Data Protection Regulation, leert dat aanbieders van clouddiensten nog steeds in een juridische spagaat komen als zij worden geconfronteerd met een Amerikaans verzoek om data te verstrekken.

'Bedrijven zoeken het maar uit'

Volgens Matthew Newman, woordvoerder van Reding, is het aan de bedrijven zelf om de “juridische situatie te analyseren" en te besluiten hoe te reageren op een dergelijk Amerikaans verzoek. Dat maakt dat die bedrijven hoe dan ook tegen juridische sancties aanlopen, of van de Amerikanen, of van de Europese Unie. “Bedrijven lopen het risico sancties opgelegd te krijgen door de autoriteiten die dat verzoek doen (als ze weigeren, red), of door de Europese Unie wanneer ze wel aan dat verzoek voldoen."

De Data Protection Regulation moet de nu geldende Data Protection Directive vervangen. De Directive is minder dwingend voor de Europese lidstaten dan de Regulation. De Directive gaf slechts een richting aan waarin de 27 lidstaten hun beleid op informatiebescherming moesten afstemmen, maar dat heeft geleid tot 27 verschillende soorten regelgeving. De Regulation moet zorgen dat in elke lidstaat dezelfde wet geldt. Dit voorstel van de Europese Commissie moet nog worden behandeld door het Europees Parlement.

Verzoeken tot dataoverdracht

In de nieuwe Regulation is een paragraaf opgenomen die handelt over de afwikkeling van verzoeken tot dataoverdracht door andere landen, zoals de Verenigde Staten, of India dat eveneens in het kader van terreurbestrijding graag zoveel mogelijk informatie wil hebben. In die paragraaf, Recital 90 geheten, wordt data-overdracht alleen toegestaan als er “belangrijke gronden zijn van algemeen belang", dat geborgd moet zijn in Europese regelgeving of in wetten van het betreffende lidstaat van de Europese Unie. De Europese Commissie meldt daar zelf bij dat het die “belangrijke gronden van algemeen belang" nog verder moet specificeren.

De onzekerheid over de Patriot Act zit er in ieder geval bij internetbedrijven goed in. Volgens Newman heeft in aanloop naar de definitieve versie van de Data Protection Regulation een flink aantal bedrijven, uit Europa en daarbuiten, aan de Europese Commissie gevraagd om die juridische onzekerheden uit de weg te ruimen. Daarnaast is de kwestie diverse malen aangekaart door Europarlementariërs. Desondanks blijven de juridische onzekerheden ook onder de nieuwe regeling bestaan.

'Blijft onderwerp van gesprek'

Newman zegt dat de Europese Commissie “deze zaak nauwgezet blijft volgen" en dat het onderwerp van gesprek blijft in de overleggen met de Amerikaanse autoriteiten en de lidstaten. Lastig zal daarbij blijven dat bedrijven zoals Microsoft en Google bij een direct verzoek tot afgeven van data onder de Patriot Act tevens verplicht worden tot geheimhouding. Daarom is het niet duidelijk of en hoeveel maal al data door cloudleveranciers is doorgegeven aan de Amerikaanse autoriteiten.

De kwestie is ook aan de orde geweest in de Tweede Kamer. Minister Opstelten en zijn ambtgenoot Donner vonden in het najaar dat de zaak moest worden aangepakt door de Europese Commissie.