De beslissing zou zomaar een Pyrrusoverwinning kunnen zijn voor internationaal opererende internetproviders en -gebruikers, bezorgd om hun privacy. Niet alleen kan de Amerikaanse justitie nog in beroep gaan bij het Amerikaanse Hooggerechtshof, ook kan het Amerikaanse Congres steeds een andersluidende wet aannemen.
De kernvraag is hoe we een efficiënte bestrijding van de transnationale misdaad kunnen verzoenen met adequate gegevensbescherming en respect voor de soevereiniteit van andere landen.
Criminele schuilplaats Europa
Microsoft biedt overal ter wereld clouddiensten aan. Die diensten zijn echter gesegmenteerd: de klantgegevens bevinden zich doorgaans in één of meerdere datacentra in de regio waar de klant zich bevindt. Microsoft zal daarom in principe de gegevens van iemand die opgeeft in Europa te wonen ook in Europa opslaan.
Het probleem is dat Microsoft niet controleert of die persoon ook werkelijk in Europa woont. Dit creëert mogelijkheden voor criminelen om gegevens in Europa te stallen en zo te ontsnappen aan de Amerikaanse justitie. Binnen de Europese Unie kunnen ze bovendien een beroep doen op een hoog niveau van gegevensbescherming.
In de zaak in kwestie ging het om gegevens van een MSN-emailadres die in een datacentrum in Ierland waren opgeslagen. Een dochteronderneming van Microsoft beheert dit centrum. De Amerikaanse justitie was van oordeel dat ze Microsoft — uiteindelijk een Amerikaans bedrijf — kon dwingen de in Ierland opgeslagen gegevens over te leggen, om die te gebruiken voor haar onderzoek in een grote drugszaak.
Microsoft weigerde echter, trok voor een rechtbank in eerste aanleg aan het kortste eind, maar haalde uiteindelijk in de beroepszaak zijn slag thuis. De rechter oordeelde dat de relevante Amerikaanse wet niet uitdrukkelijk bepaalde dat hij ‘extraterritoriaal’ van toepassing kon zijn en dat justitie rekening diende te houden met de privacy van het individu en de belangen van andere landen.
Misdaadbestrijding noodzakelijk
Los van de precieze formulering van de wet is de principiële vraag of het wenselijk is dat justitie internetproviders nooit mag dwingen emailgegevens te overleggen die ze om louter technische redenen in het buitenland opslaan. Het lijkt me dat privacy en staatssoevereiniteit, hoewel uiteraard belangrijke overwegingen, niet in álle gevallen aan dwangbevelen in de weg kunnen staan.
Transnationale misdaad moet effectief bestreden kunnen worden. In eerste instantie zou justitie haar buitenlandse evenknie moeten verzoeken gegevens te overleggen. Maar die samenwerking loopt niet altijd even vlot.
Justitie zou daarom de mogelijkheid moeten hebben om eenzijdig op te treden, uiteraard binnen bepaalde grenzen. Relevante criteria om die grenzen af te bakenen kunnen zijn: de nationaliteit van de verdachte, de ernst van het misdrijf, de waarschijnlijkheid dat de gegevens cruciale informatie voor het onderzoek opleveren, en de kans op goede samenwerking met de andere staat.
Nationale wetgevers moeten dringend dit debat voeren om te voorkomen dat criminelen het grenzeloze internet misbruiken om aan de wet te ontsnappen. Laakbare praktijken van de Amerikaanse National Security Agency indachtig, moeten we tegelijk geen vrijbrief geven aan wetsdienaars om zomaar onze persoonlijke digitale gegevens in te kijken.
*) Cedric Ryngaertis hoogleraar internationaal publiekrecht aan de Universiteit Utrecht. Een versie van dit artikel verscheen eerst in het FD