Column: Kan het Openbaar Ministerie digitale gegevens vorderen die zich in het buitenland bevinden?
/Door Monique van der Linden (Stibbe)
Ieder bedrijf kan in aanraking komen met een – meer of minder dwingend – verzoek van het Openbaar Ministerie om bepaalde gegevens te verstrekken. Niet alleen verdachten kunnen geconfronteerd worden met het Openbaar Ministerie. Juist een derde kan gehouden zijn om gegevens te verstrekken, indien redelijkerwijs kan worden vermoed dat deze toegang heeft tot bepaalde gegevens die in het belang van het onderzoek zijn. Zo kan bijvoorbeeld bij een bank een overzicht van de transacties ten aanzien van een specifiek bankrekeningnummer worden gevorderd; bij een reisorganisatie gegevens over geboekte reizen door bepaalde personen; of bij een accountantskantoor of een belastingadvieskantoor gegevens ten aanzien van een van hun klanten.
Het Wetboek van Strafvordering (Sv) kent verschillende bepalingen op basis waarvan het Openbaar Ministerie gegevens in beslag kan nemen bij verdachten (o.a. art. 125i en 125j Sv) en gegevens kan vorderen bij derden (o.a. art. 126nd Sv). Daarbij is steeds de vraag hoe ver het Openbaar Ministerie kan gaan en tot welke gegevensverstrekking een onderneming dus kan worden verplicht. Deze vraag is van belang omdat vrijwillige verstrekking van – met name privacygevoelige – gegevens kan leiden tot aansprakelijkstelling door degene op wie de gegevens betrekking hebben. Daarnaast geldt dat sommige bedrijven en personen tot geheimhouding verplicht zijn en ook al om die reden de gegevens niet vrijwillig mogen verstrekken.
Interessant is de vraag of het Openbaar Ministerie ook gegevens mag vorderen die zich buiten onze landsgrenzen bevinden. Bedrijven maken immers steeds vaker gebruik van een externe server in het buitenland of ze slaan hun data op in the cloud. Ook kan het voorkomen dat de Nederlandse vennootschap vanuit haar kantoor in Nederland toegang heeft tot de informatiesystemen van haar buitenlandse concernonderdelen. De vraag is dan of ook gegevens die zich in het buitenland bevinden, maar die wel toegankelijk zijn vanuit Nederland, door het Openbaar Ministerie kunnen worden gevorderd. Helaas is die vraag eenvoudiger gesteld dan beantwoord.
Gegevens vorderen over de grens
Bij een doorzoeking kunnen de opsporingsautoriteiten de digitale gegevens veiligstellen die daar zijn opgeslagen of zijn vastgelegd (art. 125i Sv). Daarnaast bestaat op grond van artikel 125j Sv de bevoegdheid om vanaf de plaats waar de doorzoeking plaatsvindt, te zoeken naar digitale gegevens die elders aanwezig zijn in een geautomatiseerd werk, zoals een computer van een verdachte onderneming die op een andere locatie staat, zolang deze vanaf de plaats van de doorzoeking toegankelijk is.
In de wetsgeschiedenis is onderkend dat de Nederlandse wet geen grondslag kan bieden voor een onderzoek in een geautomatiseerd werk, zoals bijvoorbeeld de hierboven genoemde computer, dat onder de rechtsmacht van een ander land valt. In dat geval is een uitdrukkelijke verdragsrechtelijke grondslag vereist of moet simpelweg een rechtshulpverzoek worden gedaan.
In deze zelfde wetsgeschiedenis wordt ten aanzien van gegevens die buiten Nederland zijn opgeslagen echter een ander beleid voorgestaan. Op het moment dat de betrokkene de beschikkingsmacht heeft over de gegevens en daartoe toegang heeft – zonder toestemming te hoeven vragen aan iemand anders – vallen deze gegevens onder het bevel van het Openbaar Ministerie. Grensoverschrijdend of niet. In het geval sprake zou zijn van een mogelijke overtreding van geheimhoudingsbepalingen die ten aanzien van deze gegevens in het buitenland gelden, zou sprake zijn van een conflict van jurisdictie. Internationaal overleg zou dergelijke situaties zoveel mogelijk moeten beperken, aldus de wetgever.
De vraag is echter waarom de landsgrenzen bij het vorderen van gegevens ineens niet meer van belang zouden zijn. Het uitgangspunt blijft immers dat het Openbaar Ministerie slechts binnen Nederland gebruik mag maken van de opsporingsbevoegdheden die op grond van het Wetboek van Strafvordering mogen worden ingezet. Feit is dat gegevens steeds vaker in het buitenland worden opgeslagen, soms zelfs op verschillende plekken. Ook worden gegevens steeds vaker in the cloud opgeslagen, waarbij überhaupt de vraag is waar the cloud zich bevindt. Hoewel dit de informatievergaring voor het Openbaar Ministerie begrijpelijkerwijs niet gemakkelijker maakt, mag dit er in mijn optiek niet toe leiden dat de opsporingsbevoegdheden die het Openbaar Ministerie heeft grensoverschrijdend mogen worden ingezet.
In de praktijk blijkt echter dat opsporingsinstanties er veelvuldig vanuit gaan dat dé cruciale vraag bij het vorderen van gegevens is of het bedrijf toegang heeft tot deze gegevens. Door de opsporingsinstanties lijkt niet van belang te worden geacht waar deze gegevens zich bevinden. In Nederland, (op verschillende plekken) in het buitenland of in the cloud? Deze vraag is echter wel degelijk van belang. Op dit moment ontbreekt mijns inziens namelijk de wettelijke basis om grensoverschrijdend gegevens te vorderen en kan een onderneming daartoe dan ook niet worden verplicht.
De "Microsoft Ireland case"
De zojuist bedoelde opvatting vindt steun in een uitspraak in de Verenigde Staten in de zaak die bekend is als de "Microsoft Ireland case" (Microsoft Corporation v. United States of America, United States Court of Appeals (2nd Circuit), No. 14-2985 (July 14, 2016)). Deze zaak draaide om een bevel dat Microsoft al in 2013 had gekregen van een Amerikaanse rechter. Op basis van dit bevel zou Microsoft de volledige inhoud van een e-mailaccount in beslag moeten nemen en een afschrift daarvan aan de Amerikaanse autoriteiten moeten verstrekken. Het betreffende e-mailaccount zou namelijk gebruikt worden in verband met de handel in verdovende middelen.
Microsoft stelde zich echter op het standpunt dat zij niet gehouden was om volledig aan deze vordering te voldoen. De gevraagde inhoud van het betreffende e-mailaccount werd namelijk bewaard op een server in Ierland en niet in de Verenigde Staten. Voor zover de gevorderde informatie zich buiten de Verenigde Staten bevond, stelde Microsoft zich op het standpunt dat zij niet gehouden was deze gegevens te verstrekken op basis van het bevel. Simpelweg omdat de Amerikaanse autoriteiten niet de bevoegdheid hebben om gegevens te vorderen die zich buiten het Amerikaanse grondgebied bevinden. Het eerste rechterlijke oordeel hield in dat Microsoft de e-mails alsnog moest verstrekken en aangezien Microsoft dat tot dat moment had geweigerd, zou zij zich schuldig hebben gemaakt aan "contempt of court". Microsoft ging echter in hoger beroep en werd in juli van dit jaar volledig in het gelijk gesteld.
Daarbij werd expliciet overwogen dat de relevante bepalingen die gelden in het land waar de gegevens zijn opgeslagen, niet zomaar terzijde kunnen worden geschoven. Ook niet op grond van de redenering dat de belangen van dit land niet geraakt worden als een Amerikaanse rechter een service provider beveelt gegevens te verstrekken die buiten de Verenigde Staten zijn opgeslagen, simpelweg omdat de service provider die het betreft ook in de Verenigde Staten is gevestigd. Voor zover het bevel betrekking heeft op gegevens die zich buiten de Verenigde Staten bevinden, wordt deze extraterritoriale toepassing onrechtmatig geacht. Het feit dat Microsoft vanaf een aantal van haar kantoren in de Verenigde Staten wel degelijk toegang zou kunnen hebben gehad tot de betreffende data maakt dat niet anders.
De Amerikaanse overheid laat het er echter niet bij zitten waardoor ook de Supreme Court zich derhalve over de zaak zal gaan buigen. Daarbij lijkt het belangrijkste argument te zijn dat de beslissing in hoger beroep al vele belangrijke onderzoeken heeft gefrustreerd en het opsporen van serieuze strafbare feiten heeft bemoeilijkt.
Tot op dit moment heeft de rechter dit belang in deze zaak echter niet laten prevaleren. Dat is in mijn ogen volkomen terecht en zou ook in Nederland het uitgangspunt moeten zijn. Los van de vraag of bepaalde digitale gegevens al dan niet toegankelijk zijn vanuit Nederland, heeft het Openbaar Ministerie simpelweg niet de bevoegdheid om grensoverschrijdend digitale gegevens te vorderen.