Office 365 en compliance: Microsoft vecht rechtbank besluit servers Ierland aan

Stel je toch eens voor, zo opent Microsoft zijn pleidooi, dat de Frankfurter Stadtpolizei het openen van een kluis van een Deutsche Bank filiaal in Manhattan eist? Omdat daar een bundeltje brieven van een New York Times journalist zou liggen. En dat de bankmanager in Manhattan de kluis zou openen, om de inhoud vervolgens richting Duitse justitie te faxen. De Amerikaanse overheid zou buiten zichzelf van woede zijn, over zo ’n onbeschaamde inmenging van een buitenlands justitieel apparaat op Amerikaans grondgebied. En bovendien de schending van privacy van een Amerikaans staatsburger!

Tsja, het zou wat zijn. Maar andersom – in een digitale werkelijkheid – is echter het geval: Amerikaanse justitie claimt toegang tot Microsoft’s servers in Ierland, om e-mails op te eisen. Microsoft had in juli schoorvoetend enige in de VS opgeslagen data (o.a. delen uit een adresboek) beschikbaar gesteld naar aanleiding van een rechtbank verzoek. Maar had geweigerd de content van e-mails beschikbaar te stellen, e-mails die in Microsoft’s datacenter in Ierland zijn opgeslagen. Ook de Ierse regering heeft zich daar terecht boos om gemaakt. Op 8 december jongstleden ging Microsoft’s hoogste jurist Brad Smith in de tegenaanval en diende een verweerschrift in, met bovenvermelde analogie als inleiding.

Deze juridische strijd raakt rechtstreeks Microsoft’s belangen en natuurlijk ook de campagne om Office 365 in Europa en Nederland vaste voet te laten krijgen. Want als Microsoft’s klanten geen vertrouwen kunnen hebben in de veiligheid van data in de cloud, in het bijzonder de clouddiensten van Microsoft, dan blijft Microsoft’s ‘cloud-first’ strategie steken in beloftes:

When you entrust your data to Office 365 you remain the sole owner of the data: you retain the rights, title, and interest in the data you store in Office 365. It’s our policy to not mine your data for advertising purposes or use your data except for purposes consistent with providing you cloud productivity services.

Aan de andere kant zien organisaties en bedrijven steeds meer de voordelen van de cloud, maar zijn het juist deze compliance risico’s die ze regelmatig nog net weerhoudt – voor nu.

Het pleitschrift van Microsoft laat zien hoe de Amerikaanse justitie zich in bochten wringt om de eis om toegang te kunnen krijgen tot de servers in Ierland kracht bij te zetten. Justitie probeert om de locatie – op grondgebied van een ander land – waar ze toegang wil krijgen minder relevant te maken, om het eigen verhaal kloppend te krijgen. Microsoft ontkracht vervolgens de juridische handvaten die men daartoe wil inzetten. Het is immers niet te doen om de plek waarvandaan je je toegang verschaft tot een locatie, maar om de locatie zelf. De vooruitgang van de technologie maakt steeds beter mogelijk dat ‘zich toegang verschaffen’ voor informatie verzameling (afluisteren bijvoorbeeld) of doorzoeking (bijvoorbeeld van een server die zich elders bevindt) van een afstand kan plaats vinden. Kort gezegd kan de verenigde Staten zich niet zonder toestemming van het land in kwestie toegang verschaffen tot eigendommen van derden in dat land.

De argumentatie van de rechtbank in juli, dat de VS daarmee helemaal geen buitenlandse soevereiniteit schendt, omdat Amerikaanse wetsdienaren zich voor toegang tot de data niet op vreemd grondgebied behoeven te begeven, doet het ergste vermoeden over het Amerikaanse beeld van het begrip ‘soevereiniteit’:

The district court dismissed all concerns about unauthorized intrusions on foreign sovereignty because a warrant issued under § 2703(a) “does not involve the deployment of American law enforcement personnel abroad,” and “does not require even the physical presence of service provider employees at the location where the data are stored.”

Is het niet vanuit een vergelijkbare filosofie dat je je als natie het recht toe-eigent vanuit Nevada overal ter wereld drones te laten vliegen – en schieten? Dat Microsoft in de opening van zijn pleidooi grijpt naar de analogie van de Duitse bankkluis geeft aan dat het blijkbaar moeilijk is Amerikaanse justitie zelf te laten inzien dat deze redenering niet past.

Ook maakt Microsoft, zich baserend op jurisprudentie, bezwaar tegen het gebrek aan onderscheid dat de rechtbank maakt tussen Microsoft’s eigen records, de rol van de provider en de data van de klanten waarvoor Microsoft de servers beschikbaar stelt:

Electronic letters do not become the caretaker’s records any more than physical letters do. Rather, an email provider is a mere “intermediary that makes email communication possible,” “not the intended recipient of the emails”; it is the “functional equivalent of a post office.”

Al met al een krachtig juridisch stuk van Microsoft, dat de zaak over een paar e-mailberichten in een Microsoft server in Ierland terecht breder trekt:

The power to embark on unilateral law enforcement incursions into a foreign sovereign country—directly or indirectly—has profound foreign policy consequences. Worse still, it threatens the privacy of U.S. citizens. The Golden Rule applies as much to international relations as to other human relations. If the Government prevails here, the United States will have no ground to complain when foreign agents—be they friend or foe—raid Microsoft offices in their jurisdictions and order them to download U.S. citizens’ private emails from computers located in this country. That would put all of our private digital information at risk, not just emails, but everything else we store on remote computers collectively called “the cloud”—a veritable “cache of sensitive personal information” saturated with the highest constitutional privacy rights.

——

Aanvullingen per 17-12-2014:

Microsoft krijgt steun in deze strijd van grote organisaties voor (digitale) burgerrechten als: American Civil Liberties Union (ACLU) en The Electronic Frontier Foundation (EFF), nieuwsmedia als CNN, The Guardian, FoxNews, The Washington Post en ICT en Telecom-bedrijven als Apple, AT&T, HP, Cisco, Verizon, EBay en Amazon.

Op 15 december heeft BSA, de Software Alliance samen met de National Association of Manufacturers, de U.S. Chamber of Commerce en de Center for Democracy and Technology een gezamenlijke brief ter ondersteuning ingediend. Lees het document hier. Deze organisaties maken de strijd nog een stapje fundamenteler dan Microsoft in zijn verweerschrift:

Protecting the confidentiality of personal information has historically been a significant public policy priority in many countries—partly as a reaction to totalitarian governments’ use of compilations of personal information to target individuals and groups for extermination (…) (observing that the “extensive accumulation of personal data by the Nazi regime” is one example of the “abuse in recent history of private and personal information” that has “undergird[ed] European vigilance in protecting personal privacy and resisting state intrusions into private life”). Indeed, privacy has the status of a fundamental human right, both in Europe and elsewhere.

Op dit moment (16/12) zou het gaan om steun van 17 nieuws- en mediabedrijven, 35 computergeleerden en 5 burgerrechtenorganisaties, plus de eerder genoemde grote bedrijven. Een ander artikel spreekt van de steun voor Microsoft’s weerschrift van inmiddels “28 American companies, 23 trade associations and advocacy groups, 35 computer scientists and 20 Universities”. En via businesscloudnews.com : A full list of signatories can be found here.

En hier de verklaring (15/12) van Microsoft’s Brad Smith over al deze steun.

 

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *