Data soevereiniteit in het ICT-recht: rechtsmacht, Cloud Act en contractuele controle

Data soevereiniteit is een belangrijk onderwerp geworden. Organisaties die gebruikmaken van cloudoplossingen worden geconfronteerd met spanningen tussen Europese gegevensbescherming en extraterritoriale bevoegdheden van derde landen, met name de Verenigde Staten.

De discussie wordt vaak versmald tot de vraag of data binnen de EU wordt gehost. Vanuit juridisch perspectief is dat een onvolledige benadering. Binnen het ICT-recht draait data soevereiniteit primair om twee vragen:

  1. Welke rechtsmacht kan aanspraak maken op de gegevens?

  2. Wie heeft feitelijk en juridisch controle over de data?

De fysieke locatie van servers is daarbij niet doorslaggevend.

De Cloud Act: extraterritoriale werking binnen het ICT-recht

De Clarifying Lawful Overseas Use of Data Act (Cloud Act) uit 2018 geeft Amerikaanse autoriteiten de bevoegdheid om gegevens te vorderen bij aanbieders van elektronische communicatiediensten en remote computing services die onder Amerikaanse jurisdictie vallen.

Het criterium is of de aanbieder “operate or have a legal presence in the U.S.”. Dat betekent dat ook Europese dochtermaatschappijen van Amerikaanse concerns onder omstandigheden binnen het bereik kunnen vallen.

Cruciaal is het begrip “possession, custody, or control”. De wet heeft extraterritoriale werking:

  • De opslagplaats van de data is niet bepalend.

  • Gegevens in een Europees datacenter kunnen onder een Amerikaans bevel vallen.

Binnen het ICT-recht betekent dit dat een loutere verplichting tot EU-hosting in een cloudcontract geen garantie biedt tegen buitenlandse bevoegdheidsclaims.

AVG en artikel 48: bescherming maar geen volledige soevereiniteit

Aan Europese zijde geldt de Algemene Verordening Gegevensbescherming (AVG). Artikel 48 AVG bepaalt dat een bevel van een rechterlijke of administratieve autoriteit uit een derde land slechts wordt erkend indien dit berust op een internationale overeenkomst.

Met het EU-US Data Privacy Framework heeft de Europese Commissie een adequaatheidsbesluit vastgesteld op grond van artikel 45 AVG. Dat maakt doorgifte van persoonsgegevens mogelijk aan gecertificeerde Amerikaanse organisaties die voldoen aan aanvullende waarborgen.

Vanuit gegevensbeschermingsrechtelijk perspectief biedt dit een kader voor rechtmatige doorgifte. Vanuit het bredere ICT-rechtelijke perspectief blijft echter de vraag bestaan of daarmee de feitelijke controle over data daadwerkelijk bij de Europese klant ligt.

AVG-compliance is noodzakelijk, maar niet gelijk aan materiële data soevereiniteit.

Data soevereiniteit contractueel verankeren: aandachtspunten voor ICT-juristen

Binnen het ICT-recht kan data soevereiniteit dichterbij worden gebracht door een combinatie van bevoegdheidsanalyse, contractuele allocatie van risico’s en technische maatregelen.

1. Analyse van rechtsmacht

Een eerste stap is het in kaart brengen van:

  • De vestigingsstructuur van de aanbieder

  • De toepasselijke rechtsordes

  • De mate waarin groepsmaatschappijen toegang kunnen hebben

Hier ligt een duidelijke rol voor de ICT-jurist: due diligence op governance- en groepsstructuur is essentieel.

2. Contractuele waarborgen in cloudcontracten

Relevante clausules zijn onder meer:

  • Meldplicht bij overheidsverzoeken of bevelen

  • Verplichting tot juridische toetsing en proportionaliteitsbeoordeling

  • Beperking of uitsluiting van vrijwillige verstrekking

  • Transparantie- en auditrechten

  • Escalatiemechanismen en bezwaarverplichtingen

Deze bepalingen versterken de rechtspositie van de klant, maar zijn slechts effectief indien zij worden ondersteund door technische inrichting.

3. Technische beheersing: encryptie en sleutelcontrole

De kernvraag binnen het ICT-recht blijft of de aanbieder beschikt over control in de zin van de Cloud Act.

Encryptie kan het risico reduceren, mits:

  • De aanbieder geen toegang heeft tot de encryptiesleutels

  • De aanbieder de data niet zelfstandig kan ontsleutelen

  • Beheerrechten geen indirecte toegang mogelijk maken

Indien de cloudprovider de sleutels beheert of kan reconstrueren, ligt het juridisch voor de hand dat sprake blijft van feitelijke controle.

Bij modellen met Customer-Managed Keys (CMK) kan nog steeds een mate van invloed bestaan. Constructies waarbij sleutels volledig extern worden beheerd (bijvoorbeeld via een Hold Your Own Key-model) sluiten nauwer aan bij het streven naar daadwerkelijke data soevereiniteit.

Ook metadata, back-ups en toegangslogs verdienen aandacht: deze kunnen afzonderlijk onder controle van de aanbieder vallen en zelfstandig juridische risico’s opleveren.

Conclusie vanuit contractueel perspectief

Binnen het ICT-recht moet data soevereiniteit worden benaderd als een vraagstuk van:

  • Rechtsmacht

  • Contractuele risicotoedeling

  • Feitelijke controle

EU-hosting alleen is onvoldoende. AVG-compliance alleen is onvoldoende.

Werkelijke data soevereiniteit vereist dat de aanbieder geen beslissende zeggenschap heeft over toegang tot de gegevens. Juridische clausules en technische architectuur moeten daarbij op elkaar aansluiten.

De sleutel tot data soevereiniteit ligt - in letterlijke en juridische zin - bij de beheersing van de encryptiesleutel.

Robert GrandiaICT-contracten