Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 5 oktober 2018

Tijdens het Algemeen Overleg op 31 mei 20181 met de vaste Commissie voor Justitie en Veiligheid ter voorbereiding op de JBZ Raad heb ik toegezegd uw Kamer nader te berichten over de Amerikaanse CLOUD Act. In deze brief zal ik in antwoord op vragen uit het Algemeen Overleg reageren op de Amerikaanse CLOUD Act, de gevolgen voor Nederlandse burgers en op de vraag hoe de CLOUD Act zich verhoudt tot de EU-voorstellen voor grensoverschrijdende toegang tot data binnen strafrechtelijke procedures (elektronisch bewijs).

1. De CLOUD Act

Op 23 maart 2018 werd in de Verenigde Staten (hierna VS) de CLOUD Act aangenomen (CLOUD = Clarifying lawful overseas use of data). Deze federale wet wijzigt de Amerikaanse Electronic Communications Privacy Act (ECPA). De CLOUD Act geeft een nieuw kader voor de Amerikaanse autoriteiten om gegevens te vorderen die beheerd worden door bedrijven die in Amerika elektronische communicatie diensten2 of «remote computing services3» aanbieden en wereldwijd zijn opgeslagen. Bij «remote computing services» kan men denken aan Cloud computing diensten4. Daarnaast omvat deze regeling een raamwerk voor nieuwe bilaterale overeenkomsten (verdragen) tussen de VS en regeringen van andere landen voor grensoverschrijdende verzoeken tot elektronisch bewijs. Een verdrag onder de CLOUD Act betreft onder meer de toegang van buitenlandse autoriteiten tot data die onder de reikwijdte van het Amerikaanse recht ressorteren.

De CLOUD Act is een reactie op juridische kwesties die voortkomen uit de ontwikkeling van de internationale dataopslag in de digitale wereld. Het reguleren van grensoverschrijdende toegang tot elektronisch bewijs is een begrijpelijke en noodzakelijke beweging in een digitale wereld waar landsgrenzen nauwelijks een rol spelen, elektronisch bewijs steeds belangrijker wordt in opsporingsonderzoeken, terwijl de bevoegdheden van de opsporingsautoriteit gebaseerd zijn op landsgrenzen. Met de verdergaande digitalisering van de samenleving en economie is bewijs vaker alleen in digitale vorm beschikbaar. De opsporing en bestrijding van cybercrime en de digitalisering van bewijs bij andere criminaliteitsvormen leidt tot meer behoefte aan snelle toegang tot elektronisch bewijs. Een belangrijke drijfveer voor de CLOUD Act was de zaak United States v. Microsoft. In deze zaak weigerde Microsoft de Amerikaanse autoriteiten elektronisch bewijs te leveren – nadat dit was gevorderd – op grond van het feit dat deze gegevens in Ierland stonden opgeslagen. In deze zaak ging het om Amerikaanse verdachten die verdacht werden van een in de Verenigde Staten gepleegd feit. Deze zaak is voorgelegd aan het Amerikaanse Hooggerechtshof, maar dit hof heeft uiteindelijk geen uitspraak gedaan over de exterritoriale werking van een Amerikaans bevel vanwege het aannemen van de CLOUD Act. Deze zaak illustreert wel de frictie die kan bestaan tussen gegevensopslag die praktisch niet wordt gehinderd door landsgrenzen en nationale opsporingsonderzoeken.

De CLOUD Act maakt het in de eerste plaats mogelijk dat Amerikaanse autoriteiten bij bedrijven die in Amerika bovengenoemde diensten aanbieden5 gegevens kunnen vorderen die in een ander land zijn opgeslagen. Dit betreft in het bijzonder inhoudsgegevens zoals de inhoud van e-mails, documenten, foto’s en video’s, etc. De wet poogt hiermee een einde te maken aan de (rechts)onzekerheid die voorheen bestond over de vraag of dergelijke «gegevensvorderingen» volgens Amerikaans recht extraterritoriale werking hebben. Voor de vordering is, zoals dat voorheen ook het geval was, een doorzoekingsbevel vereist van een Amerikaanse rechter gebaseerd op de gerechtvaardigde verwachting dat de gegevens bewijs voor het onderzoek naar het strafbare feit opleveren (de «probable cause»). Daarnaast maakt de CLOUD Act het voor bedrijven mogelijk om de bevelen aan te vechten bij de rechter door het inroepen van zogenoemde «comity rights6». De Amerikaanse rechter maakt vervolgens een omvattende belangenafweging tussen de conflicterende regels en belangen zoals voorgeschreven in Section 3 §2713 (3) van de CLOUD Act.

In de tweede plaats maakt de CLOUD Act het mogelijk dat andere landen een verdrag kunnen sluiten met de VS over de grensoverschrijdende toegang tot elektronisch bewijs. In een dergelijk verdrag kunnen voorwaarden worden opgenomen waaronder autoriteiten van dat land bij in de VS gevestigde bedrijven direct elektronisch bewijs kunnen vorderen. De CLOUD Act bevat voorwaarden die aan een verdrag gesteld moeten worden. Er wordt voorzien in een certificeringsprocedure. De Attorney General moet in samenspraak met de Minister van Buitenlandse Zaken bepaalde schriftelijke verklaringen afgeven aan het Congres, inzake het betreffende land («certification»), voordat een verdrag gesloten kan worden. Uit de verklaringen moet blijken dat het land voldoet aan een reeks voorwaarden7. Het moet onder andere in zijn nationale recht robuuste beschermingsbepalingen kennen voor privacy en burgerlijke vrijheden. Waar het betreft de verzoeken zelf zullen de verdragen ook een reeks van voorwaarden bevatten ten aanzien van de soorten bevelen die een buitenlandse autoriteit rechtstreeks aan een VS-bedrijf kan opleggen. Enkele voorbeelden hiervan zijn dat bevelen als doel moeten hebben informatie te krijgen inzake een ernstig misdrijf, waaronder terrorisme. Verder moeten bevelen een specifiek persoon identificeren en zijn bevelen inzake een Amerikaans persoon geclausuleerd.

2. De impact van de CLOUD Act op burgers

Allereerst kan worden geconstateerd dat de CLOUD Act geen verandering brengt in de strafvorderlijke voorwaarden waaronder Amerikaanse autoriteiten een bevel kunnen uitvaardigen, voor welke misdrijven dit kan of in de beschikbare rechtsmiddelen van het individu van wie de data zijn gevorderd. Tegelijkertijd vindt er wel een verandering plaats in het Amerikaanse rechtsregime dat van toepassing is op de gegevens van (Nederlandse) burgers die worden beheerd door bedrijven die in Amerika eerder genoemde diensten aanbieden8. Waar eerst het land waar de gegevens stonden opgeslagen de vordering in behandeling moest nemen conform het principe van wederzijdse rechtshulp zou het bedrijf de gevorderde gegevens nu in principe direct moeten verstrekken aan de Amerikaanse autoriteiten. In een verdrag dat volgens de CLOUD Act kan worden gesloten kunnen landen en de VS voorwaarden afspreken waaronder autoriteiten van die landen grensoverschrijdend toegang tot elektronisch bewijs kunnen krijgen. Daarnaast kunnen dienstenaanbieders op grond van een dergelijk verdrag in het geval van conflicterende rechtsregels een beroep doen op de Amerikaanse rechter volgens de comity procedure in de zin van de CLOUD Act. Dit is mogelijk wanneer (i) de data een klant betreffen die geen VS-onderdaan is en ook niet verblijft in de VS en (ii) als er een feitelijk risico is dat voor de verstrekking een conflict zou ontstaan met de wetgeving van het andere land9. Als het een EU-lidstaat betreft zal dit onder meer de Algemene Verordening Gegevensbescherming betreffen. Ongeacht het bestaan van een dergelijk verdrag waarop de comity procedure kan worden ingeroepen doet de CLOUD Act geen afbreuk aan de zogenaamde «Common law comity principles».10 Dat wil zeggen dat bedrijven niet aan Amerikaanse wettelijke verplichtingen hoeven te voldoen wanneer zij te goeder trouw zijn en er door het voldoen aan de Amerikaanse verplichting een feitelijke kans bestaat dat er zware sancties volgen vanwege het overtreden van een conflicterende wettelijke verplichting in dat derde land. Of de bedrijven die vallen onder de reikwijdte van de CLOUD Act ook een beroep zullen doen op de comity clausule of de «common law comity principles» is nog onduidelijk. Het antwoord op die vraag is een factor die in een concreet geval mede het effect bepaalt van de CLOUD Act voor (Nederlandse) burgers. Gezien de korte tijd die is verstreken sinds de CLOUD Act in werking is getreden is nog niet bekend hoe bedrijven hiermee zullen omgaan.

De impact op Nederlandse burgers bij het bestaan van een toekomstig verdrag dat geldt tussen de VS en Nederland hangt af van de voorwaarden die worden opgenomen in een dergelijk verdrag. Kernpunten die voor het kabinet van belang zijn bij het onderhandelen over een verdrag inzake grensoverschrijdende toegang tot bewijs heb ik verwoord in het BNC-fiche dat is opgesteld in de beoordeling van E-evidence voorstellen11. Het kabinet vindt dat onderhandelingen met de VS over een op de CLOUD Act gebaseerd verdrag op EU-niveau moeten worden gestart. Dit komt de rechtszekerheid voor burgers en bedrijven ten goede en dient de opsporing en vervolging van misdrijven. Het sluiten van een verdrag naar aanleiding van de CLOUD Act is een exclusieve Uniebevoegdheid op grond van artikel 3 van het Verdrag betreffende de werking van de Europese Unie (VWEU). Dit betekent dat Nederland niet bevoegd is om zelfstandig, bilateraal een dergelijk verdrag met de Verenigde Staten te sluiten. De JBZ raad van juni 2018 jl. heeft de Europese Commissie opgeroepen12 om een onderhandelingsmandaat voor te stellen. De voorstellen hiertoe wacht ik af. Bij het onderhandelen over en het sluiten van de beoogde overeenkomst tussen de Unie en de VS wordt de procedure gevolgd die is opgenomen in artikel 218 van het VWEU.

3. De CLOUD Act en Europese ontwikkelingen

De Europese Commissie heeft de zogenoemde «E-evidence voorstellen» gedaan, die bestaan uit een verordening en een richtlijn. Deze voorstellen zijn erop gericht de grensoverschrijdende toegang tot bewijs tussen lidstaten te verbeteren voor Europese opsporingsautoriteiten. Daartoe wordt een Europees verstrekkingsbevel en een bewaringsbevel in het leven geroepen dat verstuurd kan worden aan internetdienstverleners die diensten aanbieden in de Unie.

Zoals verwoord in de BNC fiches die aan uw Kamer zijn verstuurd inzake deze voorstellen, onderschrijft de regering de noodzaak van deze ontwikkeling, maar is zij van mening dat bij de verdere bespreking van deze voorstellen betere afspraken nodig zijn om de rechten te waarborgen van personen van wie de gegevens worden gevraagd en verstrekt en van de dienstverlenende bedrijven die verplicht worden gegevens te verstrekken. Ook moet de uitvoering van de bevelen goed werkbaar zijn voor de dienstenaanbieders en dient gewaakt te worden voor een toename van administratieve lasten (in het bijzonder voor het midden- en kleinbedrijf). Verder bepalen de EU-voorstellen dat de persoonsgegevens waar het bij de verstrekking om gaat, beschermd zijn en alleen mogen worden verwerkt in overeenstemming van de EU regels hierover13. De E-evidence verordening bevat ook voorstellen over een «comity clausule» voor het geval de gevorderde gegevens buiten de EU zijn opgeslagen. Als een rechtshandhavingsautoriteit gegevens vordert bij een bedrijf of bij de juridisch vertegenwoordiger van dat bedrijf dan weet de autoriteit vaak niet in welk land de gegevens zijn opgeslagen. Volgens het Commissievoorstel kan een internet dienstverlener zich beroepen op een conflict met de wetgeving in een derde land (waar de data zijn opgeslagen) wanneer het uitvoering moet geven aan een Europees verstrekkingsbevel. De Internetdienstverlener meldt dit conflict aan de autoriteit van het land die het verstrekkingsbevel heeft uitgevaardigd. Het is vervolgens aan de rechter van dat land om een afweging te maken op basis van diverse criteria (art. 15 en 16 Verordening). Hiervoor is geen verdrag nodig met dat derde land. De rechter kan in het verstrekkende land een mening over het conflict vragen van de justitiële autoriteiten van dat derde land. Voor het kabinet is de werkbaarheid van dergelijke complexe bepalingen een aandachtspunt. Dit met het oog op de uitvoerbaarheid voor dienstverleners, in het bijzonder het MKB en start-ups.

4. Vervolg

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus