SURF houdt ontwikkelingen rond CLOUD Act in de gaten

CLOUD Act levert catch 22 op voor Amerikaanse provider in EU

Voor een Amerikaanse provider die zich in de EU bevindt, betekent het voldoen aan een verzoek van de Amerikaanse autoriteiten dat hij in strijd handelt met verplichtingen onder de AVG/GDPR. Bij het niet voldoen overtreedt zij de Amerikaanse wet.

Onduidelijkheid over uitweg

Is er momenteel voor een Amerikaanse provider in zo’n situatie nog een uitweg? Minister Grapperhaus maakt in zijn brief aan de Tweede Kamer van 5 oktober 2018, duidelijk dat de CLOUD Act geen afbreuk doet aan de zogenaamde ‘Common law comity principles’. Onder deze principes zou een Amerikaanse provider geen gegevens hoeven afstaan:

• als hij te goeder trouw is én
• als hij feitelijk de kans loopt op zware sancties, doordat hij voldoet aan de Amerikaanse verplichting en daarmee een conflicterende wettelijke verplichting in een ander land (zoals de AVG) overtreedt.

Of partijen hier daadwerkelijk een beroep op zullen gaan doen is vooralsnog onduidelijk.

Verdrag tussen EU en VS heeft voorkeur

Het verdient echter de voorkeur dat er een verdrag gesloten wordt tussen de EU en de VS, met daarin nadere afspraken over gegevensvorderingen en de grondslagen op basis waarvan doorgifte van persoonsgegevens op verzoek aan een derde land, zoals de VS, mag plaatsvinden (zie art. 48 AVG).

Wat doet SURF?

SURF houdt de ontwikkelingen op Europees vlak nauwlettend in de gaten, en houdt je daarvan op de hoogte. Intussen verklaren wij, voor zover mogelijk, op onze overeenkomsten het Europees recht van toepassing. Hiermee kunnen wij helaas niet voorkomen dat een Amerikaanse wederpartij in de problemen komt na ontvangst van een verzoek om data/persoonsgegevens door de Amerikaanse autoriteiten.