Mag de Amerikaanse justitie onze emailgegevens inkijken?

Europese gebruikers van Gmail, Hotmail en MSN zijn voorlopig veilig voor de lange arm van de Amerikaanse wet. Een Amerikaanse rechtbank besliste vorige week (14 juli 2016) dat de Amerikaanse justitie Microsoft niet kan dwingen emailgegevens over te leggen die in een Iers datacentrum waren opgeslagen. De beslissing zou echter zomaar een Pyrrusoverwinning kunnen zijn voor internationaal opererende Internetproviders en gebruikers bezorgd om hun privacy. Niet alleen kan de Amerikaanse justitie nog in beroep gaan bij het Amerikaanse Hooggerechtshof, ook kan het Amerikaanse Congres steeds een andersluidende wet aannemen. De beleidsvraag hierbij is hoe we een efficiënte bestrijding van de transnationale misdaad kunnen verzoenen met adequate gegevensbescherming en respect voor de soevereiniteit van andere landen.

Zoals bekend biedt Microsoft overal ter wereld clouddiensten aan. Die diensten zijn echter gesegmenteerd: de klantgegevens bevinden zich doorgaans in één of meerdere datacentra in de regio waar de klant zich bevindt. Microsoft zal daarom in principe de gegevens van iemand die opgeeft in Europa te wonen ook in Europa opslaan. Het probleem is dat Microsoft niet controleert of die persoon ook werkelijk in Europa woont. Dit creëert uiteraard mogelijkheden voor criminelen om gegevens met betrekking tot hun activiteiten in Europa te stallen. Op die manier kunnen ze ontsnappen aan de klauwen van de Amerikaanse justitie. Binnen de Europese Unie kunnen ze bovendien een beroep doen op een hoog niveau van gegevensbescherming. Verder kan het Europese land van gegevensopslag zijn soevereiniteit inroepen om ongewenste Amerikaanse interventie af te weren. In de zaak in kwestie ging het om gegevens van een MSN-emailadres die in een datacentrum in Ierland waren opgeslagen. Een dochteronderneming van Microsoft beheert dit centrum. De Amerikaanse justitie was van oordeel dat ze Microsoft – uiteindelijk een Amerikaans bedrijf – kon dwingen de in Ierland opgeslagen gegevens over te leggen, om die te gebruiken voor haar onderzoek in een grote drugszaak. Dat was technisch sowieso mogelijk voor Microsoft, zonder dat werknemers van Microsoft per se naar Ierland zouden moeten gaan. Microsoft weigerde echter, trok voor een rechtbank in eerste aanleg aan het kortste eind, maar haalde uiteindelijk in de beroepszaak zijn slag thuis. De rechtbank was met name van oordeel dat de relevante Amerikaanse wet niet uitdrukkelijk bepaalde dat hij ‘extraterritoriaal’ van toepassing kon zijn en dat justitie rekening diende te houden met de privacy van het individu en de belangen van andere landen.

Onafgezien van de precieze formulering van de wet, is de onderliggende principiële vraag – zowel in de VS als daarbuiten – of het wenselijk is dat justitie Internetproviders nooit mag dwingen emailgegevens over te leggen die ze om louter technische redenen in het buitenland opslaan. Het lijkt me dat privacy en staatssoevereiniteit, hoewel uiteraard belangrijke overwegingen, niet in alle gevallen aan dwangbevelen in de weg kunnen staan. Transnationale misdaad moet immers effectief bestreden kunnen worden. Toegegeven, in eerste instantie zou justitie haar buitenlandse evenknie vriendelijk moeten verzoeken de gezochte gegevens over te leggen. Maar die samenwerking loopt helaas niet altijd even vlot. Justitie zou daarom de mogelijkheid moeten hebben om eenzijdig op te treden, uiteraard binnen bepaalde grenzen. Relevante criteria om die grenzen af te bakenen kunnen zijn: de nationaliteit van de verdachte, de ernst van het misdrijf, de waarschijnlijkheid dat de gegevens cruciale informatie voor het onderzoek opleveren, en de kans op goede samenwerking met de andere staat. Nationale wetgevers moeten dringend dit debat voeren. We moeten immers voorkomen dat criminelen het grenzeloze karakter van het Internet misbruiken om aan de arm der wet te ontsnappen. De laakbare praktijken van de Amerikaanse National Security Agency indachtig, moeten we er tegelijk op toezien dat we geen vrijbrief geven aan wetsdienaars, en zeker buitenlandse wetsdienaars, om zomaar onze emailgegevens in te kijken.