The cloud: Welk recht is van

toepassing (op mij)?

Jan Smits

Geertrudiskapel

Utrecht, 13 februari 2013

13 februari 2013 (c) Utrecht, JM Smits

13 februari 2013 (c) Utrecht, JM Smits

13 februari 2013 (c) Utrecht, JM Smits

Mare Liberum!

Van 1609 Hugo de Groot – Mare Liberum

tot aan

1982 UNCLOS Montego Bay Convention

13 februari 2013 (c) Utrecht, JM Smits

Mare Liberum: 5 jurisdictie zones

Mare Liberum:

Zeerecht / Territorialiteit / Jurisdictie

• Territoir aan deze kant van de zee heeft geen

zeggenschap over het territoir aan de andere kant van

de zee, zelfs niet ten aanzien van zeekabels

• Er is erkenning dat de (hoge) zee common heritage of

mankind is

• Slechts dan staatsoevereiniteit toekennen

• voor de bescherming van de veiligheid (met zo

min mogelijk extraterritoriale werking)

• interne orde

13 februari 2013 (c) Utrecht, JM Smits

13 februari 2013 (c) Utrecht, JM Smits

Who Signed The ITU WCIT Treaty Dubai 2012

Vrij Internet?

Did not sign = 55 countries = 2.6 billionDid sign = 89 countries = 3.8 billion

“(…) all governments

should have an equal

role and responsibility for

international Internet

governance and for

ensuring the stability,

security and continuity of

the existing Internet and

its future development

and of the future internet,

and that the need for

development of public

policy by governments in

consultation with all

stakeholders is also

recognized; (…)”

PLEN/3 WCIT Dubai

2012 http://www.itu.int/en/wcit-

12/Documents/final-acts-wcit-

12.pdf

Voorbeelden extra-territoriale US regelgeving

Patriot Act is geen zelfstandige wet, zij kende nieuwe bevoegdheden toe in

oude wetten en moet hoofdzakelijk worden opgevat als een kaderregeling

Foreign Intelligence Surveillance Act (FISA, aangepast 2011), de

oorspronkelijke FISAA in 2008 creëerde een precedent voor het aftappen

van VS uitgaande communicatie zonder rechterlijke last

De Electronic Communications Privacy Act (ECPA) en de Stored

Communications Act (SCA) (zie: 18 USC 2701-2711) reguleren de

overheidstoegang tot elektronische communicatie en data in het kader van

het onderzoek naar en de vervolging van criminaliteit door Amerikaanse

justitie, politie en andere betrokken diensten

13 februari 2013 (c) Utrecht, JM Smits

Uw begin van 13 februari 2013

07.23

Checkt email (ook gmail/hotmail) account

−Ok op paper ingeleverd voor conferentie in Atlanta 17 april 2013

−Schrijft zich in voor conferentie, betaalt met eigen creditcard

−Boekt vliegticket via London, Boston naar Atlanta

07.54

−Checkt Dropbox voor laatste versie artikel samen met een collega uit

Spanje

08.02

−Checkt blogspot voor laatste blogs studenten over islamitisch strafrecht

en haar toepassing

08.17

−Zet sheets college vorige week op slideshare

08.24: Op weg naar Utrecht Geertrudiskapel13 februari 2013 (c) Utrecht, JM Smits

Betalen: Cubaanse sigaren

26 februari 26, 2011

- Deense krant Berlingske maakt melding van de verreikende

VS controle over SWIFT: ze waren in staat beslag (‘seized

money’) te leggen op geld (26.000 dollar) dat van

Denemarken onderweg was naar Duitsland

- Deen had bij Duitse importeur Cubaanse sigaren gekocht, die

deze net daarvoor uit Cuba had geïmporteerd

- Het VS ministerie van financien (U.S. Treasury)

rechtvaardigde de ingreep omdat de Deen het Amerikaanse

handelsembarge jegens Cuba had geschonden

13 februari 2013 (c) Utrecht, JM Smits

Vliegen

13 februari 2013 (c) Utrecht, JM Smits

http://hasbrouck.org/IDP/EU-PNR-FAQ.pdf

“Reasonable expectation of privacy”

− Cloud providers zijn aan te merken als derden

− Voor de gebruikers van deze diensten vervalt ‘reasonable

expectations of privacy’ (Third Party doctrine)

− Amerikaanse constitutionele waarborgen strekken zich in elk geval

niet uit tot buitenlanders die zich niet in de VS bevinden

In dat opzicht genieten Nederlandse gebruikers van cloud diensten

vanuit Amerikaans juridisch perspectief dezelfde grondrechtelijke

bescherming als Iraniers

13 februari 2013 (c) Utrecht, JM Smits

“Reasonable expectation of privacy”

Oordeel Amerikaans gerechtshof:

− De tweets die de Nederlandse hacker Rop Gonggrijp verstuurde en zijn

IP-adres zijn niet geheim

− Berichten van de Amerikaanse overheid wel

− WikiLeaks-sympathisanten Rop Gongrijp, Jacob Appelbaum en het

IJslandse parlementslid Birgitta Jonsdottir proberen te voorkomen VS

autoriteiten toegang tot hun Twitter-gegevens krijgen

− De Amerikaanse overheid wilde de gegevens inzien, vanwege het lekken

en openbaren van de beelden, die uiteindelijk voor de "Collateral Murder

video" werden gebruikt

13 februari 2013 (c) Utrecht, JM Smits

Weerstaan is bitter noodzakelijk

Chilling effectWetenschappelijk onderzoek niet langer meer in volledige

onafhankelijkheid, door permanente dreiging van ‘meekijkers’

Function creep Vooral overgang naar cloud computing geeft onbedoeld nieuwe

mogelijkheden voor vreemde (maar vooral VS) overheid, toegang te

verkrijgen tot persoons- en wetenschappelijke informatie

Verlies vertrouwelijkheid

Verlies veiligheid van data

Verlies individuele integriteit

Verlies aan organisationele, maar vooral ook wetenschappelijke

soevereiniteit

13 februari 2013 (c) Utrecht, JM Smits

13 februari 2013 (c) Utrecht, JM Smits

Rete Liberum!

Jurisdictie = rechtsmacht mogen uitoefenen

Het optrekken van een eigen (juridische) muur is eigenlijk zinloos tenzij je alle communicatie tussen alle wetenschappers verbiedt

Rete Liberum: juridisch

Rechten regelen langs internationaal-publiekrechtelijke dynamiek

niet via extraterritoriale werking vanuit één jurisdictie, zoals nu

vaak het geval is

Een VN-conventie handelend over het niet-territoriale stuk van het

internet is mijn ultieme wens vanuit academisch Nederland

MAAR

Duurt (heel) lang

13 februari 2013 (c) Utrecht, JM Smits

Rete Liberum? Voorlopig aan m’n ree…

VS heeft in de hierboven besproken domeinen vrijwel overal

rechtsmacht (vergeet echter andere (ook EU) overheden

niet)

Noch Europese, noch Nederlandse wettelijke regels en

contractuele afspraken kunnen aan de extra territoriale

uitoefening van buitenlandse (opsporings- en

veiligheids)diensten in de weg staan

13 februari 2013 (c) Utrecht, JM Smits

Ontwaakt en Handelt!

Accepteren dat vooralsnog juridische, zelfs pan-Europese oplossingen niet zullen

werken, Europese burger (wetenschapper) geen enkele consitutionele bescherming

vanuit de VS: eigen persoonsgegevens en data ook niet

(Suggestie: Europese burger (wetenschapper) sprekend op VS conferentie zou

kunnen verwijzen naar het ontbreken van consitutionele bescherming in de VS, en

dus eigenlijk in juridsiche zin een tweede rangs burger is, terwijl dat omgekeerd

vooralsnog niet het geval is)

Begin maken met hoogwaardige en door individuele wetenschapper gemakkelijk te

implemeteren technische beschermingsmaatregelen

(Suggestie: In SURF-verband gaan werken aan gefragementeerde decentrale

opslag van versleutelde data en persoonsgegevens)

13 februari 2013 (c) Utrecht, JM Smits

Dank U

voor

Uw

aandacht!!

13 februari 2013 (c) Utrecht, JM Smits

Prof. dr mr Jan M. Smits

Hoogleraar Recht & Techniek

School of Innovation Sciences

Technische Universiteit Eindhoven

j.m.smits@tue.nl

Contact

Verder lezenDe club die safe harbour principles bewaakt aan de EU kant:

http://ec.europa.eu/justice/policies/privacy/thridcountries/adequacy-faq1_en.htm#4

Blog over EU-US deal tav passagiersinfo: http://papersplease.org/wp/2012/04/25/european-parliament-approves-pnr-agreement-with-the-us-whats-next/

What's a PNR? A PNR (“Passenger Name Record”) is a record in a database of travel

reservations that contains information about a trip. A single PNR can contain data about one

person or about a group of up to 100 people traveling together. It can include personal

information about the traveller(s) and other individuals, and about services provided by

airlines, railroads, hotels, tour operators, etc. (CRS computerized reservation system (4, amadeus is eu)http://papersplease.org/wp/2012/04/25/european-parliament-approves-pnr-agreement-with-the-us-whats-next/

Zie uitgebreider http://hasbrouck.org/IDP/EU-PNR-FAQ.pdf

ENISA, EU organisatie inventariseerde al zeer diepgravend in 2009 de risico’s en juridische gevolgen van cloud

computing

http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-assessment

EU Parliament Committee Issues Study on Cybercrime and the Privacy Implications of Cloud Computing

http://www.huntonprivacyblog.com/2013/01/articles/eu-parliament-committee-issues-study-on-cybercrime-and-the-

privacy-implications-of-cloud-computing/

European Parliament’s Committee on Civil Liberties, Justice and Home Affairs (“LIBE”) released a study titled

Fighting cyber crime and protecting privacy in the cloud

http://www.europarl.europa.eu/committees/en/libe/studiesdownload.html?languageDocument=EN&file=79050

http://www.huntonprivacyblog.com/tag/eu-data-protection-directive/

13 februari 2013 (c) Utrecht, JM Smits

Artikel 8 EVRM

1. Een ieder heeft recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn

woning en zijn correspondentie.

2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht,

dan voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is

in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn

van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van

de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van

anderen.

Het afluisteren, onderscheppen of opvragen van opgeslagen communicatie en de daarop

betrekking hebbende gegevens maakt inbreuk op dit grondrecht, maar kan geoorloofd zijn als

aan de door het Europese Hof ontwikkelde criteria is voldaan.

Een inbreuk op art. 8 lid 1 EVRM moet een inbreuk een “legitiem belang” dienen, “bij wet

voorzien” en “noodzakelijk in een democratische samenleving” zijn. Op basis van artikel 8

EVRM legt het Europees Hof voor de Rechten van de Mens in talloze uitspraken aan Europese

overheden de verplichting op om bevoegdheden en waarborgen in het kader van

overheidstoegang tot gegevens en de inhoud van communicatie in wetgeving te verankeren

13 februari 2013 (c) Utrecht, JM Smits