Het bestrijden van internationaal terrorisme staat hoog op de agenda van de Amerikaanse overheid. Kort na 9/11 is daartoe bijvoorbeeld de USA PATRIOT Act (‘Patriot Act’) bij het Congres ingediend. Wie onder de Amerikaanse jurisdictie valt, moet op grond van deze wet allerhande informatie verschaffen aan de Amerikaanse autoriteiten. Ook Nederlandse bedrijven en overheden die zaken doen met ICT-bedrijven met een Amerikaanse achtergrond, lopen het risico dat gevoelige informatie in Amerikaanse handen komt. Dit kan wringen met de Nederlandse privacyregelgeving. Maar is het inderdaad zo erg als het lijkt?

Vorig jaar ontstond in het Europees Parlement en de Tweede Kamer ophef over de vergaande effecten van de Patriot Act voor Europese bedrijven, met name in relatie tot ICT-dienstverlening. De commotie werd versterkt doordat de Britse multinational BAE afzag van een opdracht aan Microsoft, omdat zij niet de garantie kreeg dat vertrouwelijke bedrijfsinformatie niet in Amerikaanse overheidshanden zou komen. In Nederland wees toenmalig minister Donner de suggestie om Amerikaanse bedrijven voortaan van Nederlandse aanbestedingen uit te sluiten, van de hand. Volgens hem was het geen aanbestedingsprobleem, maar een jurisdictieconflict dat tussen overheden moest worden opgelost. Wellicht kon dat bij de herziening van de EU-privacyregelgeving. Nu dit niet lijkt te gebeuren, is de vraag: hoe verder?

Amerikaanse jurisdictie

Of men onder de Amerikaanse jurisdictie valt, volgt uit eisen vastgelegd in de Amerikaanse Grondwet. Dat is zo als de organisatie (mede) in Amerika is gevestigd, maar ook als men regelmatig zaken doet in Amerika. Op basis van de Patriot Act moet informatie waarover men “sufficient possession, custody or control” heeft, desgevorderd aan de Amerikaanse autoriteiten worden verstrekt. Voldoende is dat men feitelijk toegang heeft tot die informatie. Dienstverleners die onder Amerikaanse jurisdictie werken, zullen dus ook informatie moeten afstaan waarover zij als opdrachtnemer beschikken. Vanwege de extraterritoriale werking van de Patriot Act is die verplichting bovendien niet beperkt tot informatie die zich op Amerikaanse bodem bevindt.

Daarmee lopen ook Nederlandse bedrijven en overheden die zaken doen met bedrijven die onder de Amerikaanse jurisdictie vallen, het risico dat gevoelige informatie in Amerikaanse handen komt. Hoe groot dat risico is, is onduidelijk omdat degene van wie informatie wordt gevraagd daarover niets tegen anderen mag zeggen. Ook niet tegen zijn opdrachtgevers. Wel kan dit verbod in rechte worden aangevochten.

Privacy

Hoewel ook vertrouwelijke bedrijfsgegevens in Amerikaanse handen kunnen komen, liggen de grootste gevoeligheden bij de verplichte verstrekking van persoonsgegevens. Dat hoeft geen verbazing te wekken, omdat deze verstrekking haaks kan staan op de in de EU geldende strenge privacywetgevingen. In Nederland gaat het dan om de Wet bescherming persoonsgegevens (Wbp).

Bij ICT-dienstverlening is de klant doorgaans de  verantwoordelijke en de leverancier de bewerker in de zin van de Wbp. Verstrekking van persoonsgegevens aan Amerikaanse autoriteiten is alleen toegestaan als de verantwoordelijke een gerechtvaardigd belang kan aantonen van hemzelf of een derde aan wie de gegevens worden verstrekt. Beroep op een wettelijke verplichting kan niet worden gedaan, omdat het hier niet gaat om de naleving van een Nederlandse wettelijke verplichting. Maar ook al zou de Patriot Act een gerechtvaardigd belang om persoonsgegevens te verstrekken opleveren, dan nog doet zich het probleem voor dat dat belang steeds moet worden afgewogen tegen het privacybelang van de betrokkenen. Bovendien mogen nooit meer gegevens worden verstrekt dan strikt noodzakelijk. Op beide punten wringt de Wbp met de Patriot Act. De leverancier van wie de informatie wordt gevraagd, mag daarover immers niets tegen zijn opdrachtgever zeggen en die laatste kan die belangenafweging dus niet maken. Sterker nog, hij kan zelfs geen enkele invloed op de verstrekking uitoefenen.

Dit brengt mee dat voor de verstrekking van persoonsgegevens aan Amerikaanse autoriteiten, de leverancier zelfstandig moet beslissen. Het ligt daarom voor de hand aan te nemen dat die van rol verwisselt en in plaats van bewerker, verantwoordelijke in de zin van de Wbp wordt. Onlangs nam de Engelse privacytoezichthouder ICO ditzelfde standpunt in. Daarbij gaf ICO tevens aan dat hij nooit handhavend zal optreden tegen een cloud-afnemer, alleen omdat die gekozen heeft voor een cloudprovider die onder Amerikaanse jurisdictie valt. Met het oog op hiervoor genoemde rolverwisseling van partijen is het niettemin raadzaam daarover nadere afspraken te maken.

Doorgifte gegevens

Verstrekking van persoonsgegevens op basis van de Patriot Act brengt onherroepelijk doorgifte van persoonsgegevens naar de VS mee. Daarvoor gelden eveneens strikte privacyregels.
ICT-leveranciers met Amerikaanse 'roots' stellen veelal dat zij Safe Harbour-gecertificeerd zijn en dat doorgifte aan de Amerikaanse groepsmaatschappij daarom toegestaan zou zijn. Op basis van de Safe Harbour-afspraken zou de Amerikaanse groepsmaatschappij de verkregen persoonsgegevens dan op haar beurt mogen afstaan aan Amerikaanse autoriteiten. Dat een leverancier aan wie informatie wordt gevraagd, daarover krachtens de Patriot Act niets tegen zijn Amerikaanse groepsmaatschappij mag zeggen, wordt daarbij gemakshalve vergeten.

Andere wettelijke instrumenten bedoeld om doorgifte mogelijk te maken, lijken evenmin uitkomst te bieden. Amerikaanse autoriteiten zullen niet snel genegen zijn het EU-modelcontract voor doorgifte te ondertekenen, terwijl bovendien niet duidelijk is wie daarbij partij zouden moeten zijn. Ook de aanvraag van een doorgiftevergunning verhoudt zich slecht met de opgelegde geheimhoudingsplicht. Hooguit zou voor doorgifte een beroep kunnen worden gedaan op uitzonderingsgronden zoals zwaarwegend algemeen belang of de verdediging van een recht in rechte. Deze uitzonderingsgronden moeten echter restrictief worden uitgelegd zodat onzeker is of een beroep daarop standhoudt.

Volgens de voorgestelde EU Privacy Verordening, die het systeem van de Wbp moet gaan vervangen, worden de mogelijkheden voor doorgifte verruimd. Veel moet daar vooralsnog niet van worden verwacht. In een eerder uitgelekt concept van de Verordening stond nog een bepaling die doorgifte aan buitenlandse autoriteiten leek mogelijk te maken, zolang er maar een rechtshulpverdrag bestaat met het betreffende derde land. Omdat een dergelijk rechtshulpverdrag met de VS is gesloten, zou dat hier uitkomst kunnen bieden. Die bepaling is evenwel in de officiële conceptversie gesneuveld. In een reactie op de concept-EU Privacy Verordening hebben de gezamenlijke privacytoezichthouders, waaronder het College bescherming persoonsgegevens, bepleit genoemde bepaling weer op te nemen. Om een daadwerkelijke oplossing van dit jurisdictieconflict te bereiken, lijkt afstemming met de VS echter noodzakelijk. Tot die tijd hebben klanten en hun ICT-leveranciers te maken met twee tegenstrijdige wettelijke regimes.

Overdreven

Toch kan men zich afvragen of de ophef over de Patriot Act niet overdreven is. Die wet bestaat al bijna een decennium en de praktijk leert dat er terughoudend gebruik van wordt gemaakt. Privacytoezichthouders geven er bovendien geen blijk van actief hierop te willen handhaven, zouden zij daarvoor al de mankracht hebben. Dat neemt niet weg dat klanten en ICT-leveranciers er goed aan doen de privacybezwaren zoveel mogelijk te ondervangen door over de Patriot Act specifieke afspraken te maken.

USA Patriot Act

In 2003 trad de ‘Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act’ (beter bekend als de Patriot Act) in werking. Centraal staat de informatievergaring en het optreden bij mogelijke terroristische activiteiten.
Iedereen die contact heeft met de VS, en die beschikt over relevante informatie, kan te maken krijgen met deze wet, ongeacht waar de informatie zich bevindt.

De wet kent verschillende soorten informatieverzoeken. Voor verzoeken gebaseerd op FISA court-orders is een rechterlijk bevel nodig. Voor verzoeken gebaseerd op National Security Letters niet. Niet-naleving van de bevelen onder de Patriot Act kan leiden tot strafrechtelijke sancties.
Hoewel de Patriot Act verstrekkende gevolgen heeft, staat deze wet niet op zichzelf. Veel Europese landen, waaronder Nederland, kennen soortgelijke wetgeving. In Groot-Brittannië is vanwege de aanstaande Olympische Spelen, een vergelijkbaar wetsvoorstel in de maak.

In plaats van rechtstreekse vorderingen aan bedrijven en overheden op basis van de Patriot Act kunnen Amerikaanse autoriteiten overigens ook informatieverzoeken aan Nederlandse autoriteiten doen door middel van rechtshulpverzoeken.