Europese overheden vragen massaal data op
Europese bedrijven maken zich volgens Microsoft onterecht zorgen over de Amerikaanse Cloud Act. Tijdens het evenement ‘Microsoft European Digital Commitment Day’ in Wenen benadrukte Jeff Bullwinkel, vice-president en deputy general counsel bij Microsoft EMEA, dat de wet geen nieuwe bevoegdheden creëert en dat de risico’s voor Europese bedrijven ‘vrijwel nihil’ zijn.
‘Het eerste wat ik wil zeggen over de Cloud Act is dat het geen nieuwe autoriteiten heeft gecreëerd voor de Amerikaanse overheid’, aldus Bullwinkel. ‘Het heeft het systeem waarmee de overheid toegang tot data kan eisen niet veranderd. De regels blijven hetzelfde: er is een bevel van een onafhankelijke rechter nodig, gebaseerd op een strafrechtelijk onderzoek naar ernstige criminaliteit zoals witwassen, drugshandel of kinderuitbuiting.’
Hij voegde eraan toe dat Microsoft nog nooit Europese overheidsdata heeft overgedragen aan de Verenigde Staten en dat de meeste verzoeken wereldwijd niet eens betrekking hebben op die gegevens. ‘Als praktisch gevolg is het risico dat bedrijven hier in Oostenrijk of elders in Europa een disclosure order ontvangen vrijwel nihil’, zei hij.
‘OVH levert Canada data’
Een opvallend punt dat Bullwinkel benadrukte, is dat de Cloud Act niet alleen geldt voor Amerikaanse bedrijven. ‘Er is een veelvoorkomend misverstand dat deze wet alleen voor Amerikaanse bedrijven geldt. Dat is niet het geval. De Cloud Act en andere relevante Amerikaanse wetten zijn van toepassing op elk bedrijf dat een zakelijke of online verbinding met de VS heeft. Neem bijvoorbeeld OVHcloud, een Franse cloudprovider. Ook zij vallen onder de wet en beantwoorden verzoeken van de Amerikaanse overheid’, zei Bullwinkel.
Hij verwees naar een recent voorbeeld waarin OVH Franse data aan Canada leverde. Dit toont volgens hem aan dat het om een ‘globaal probleem van mondiale data-interesse’ gaat, waar bedrijven zich op moeten voorbereiden.
OVH vaag over Cloud Act
Hoewel Bullwinkel stelt dat OVHcloud zelf erkent onder de Cloud Act te vallen, is daarvoor op de website van de Franse provider geen expliciete bewoording te vinden. OVHcloud benadrukt juist dat Europese klantdata organisatorisch en technisch gescheiden zijn van de Amerikaanse entiteit en daardoor niet automatisch onder Amerikaanse jurisdictie vallen. Tegelijk erkent OVHcloud wel dat zij wettige verzoeken van autoriteiten zullen naleven en dat, onder de Cloud Act, dit ook data buiten de VS kunnen betreffen. Het bedrijf voegt eraan toe dat het juridische mogelijkheden zal onderzoeken om dergelijke verzoeken aan te vechten of te beperken.
De passage geeft dus aan dat Europese data in theorie onder de reikwijdte van de Cloud Act kunnen vallen, maar OVHcloud zelf presenteert dit als iets dat juridisch afgewogen en beperkt kan worden. Er is echter geen openbaar bewijs dat OVH daadwerkelijk Europese gegevens heeft overgedragen op basis van de Cloud Act. Wel is bekend dat een Canadese rechtbank eerder dit jaar oordeelde dat het bedrijf gegevens moest verstrekken in een specifieke juridische procedure.
Europa vraagt data op
Bullwinkel benadrukte dat Europese overheden zelf ook actief gebruikmaken van clouddata. Het communiceert hier halfjaarlijks over in speciale Microsoft Government Requests Reports. Duitsland deed in de laatste rapportageperiode 5.296 verzoeken aan Microsoft, bijna net zoveel als de Verenigde Staten. Duitsland doet de meeste dataverzoeken van alle Europese landen. Frankrijk volgde met ongeveer tweeduizend verzoeken en Oostenrijk telde 263 verzoeken. ‘Voor een land met de omvang van Oostenrijk is dat niet klein. Mensen realiseren zich vaak niet hoeveel data Europese overheden opvragen’, zei hij.
Tegelijkertijd wees Bullwinkel erop dat ook de Europese Unie zelf wetgeving invoert die vergelijkbare bevoegdheden biedt. De European Evidence Regulation, die volgend jaar van kracht wordt, zal het voor Europese politie- en opsporingsdiensten mogelijk maken data op te vragen van technologiebedrijven buiten de EU.
Geen reden voor paniek
Volgens Microsoft is er geen reden voor paniek onder Europese bedrijven over de Cloud Act. ‘Zorgen hierover zijn overdreven. Het gaat om zeer gerichte onderzoeken naar ernstige criminaliteit en het risico dat een bedrijf getroffen wordt, is praktisch nul’, aldus Bullwinkel. Tegelijkertijd geeft zijn uitspraak over OVHcloud en de internationale dataoverdracht stof tot discussie over datasoevereiniteit en de reikwijdte van Amerikaanse wetgeving buiten de VS.
Update: reactie OVHcloud (toegevoegd op 1 december 2025)
OVHcloud laat naar aanleiding van dit artikel weten dat alleen de Amerikaanse dochteronderneming OVH US onder Amerikaanse wetgeving zoals de Cloud Act valt. Volgens het bedrijf zijn de Franse en overige Europese entiteiten juridisch, technisch en operationeel gescheiden en daardoor niet onderworpen aan de Cloud Act, de Patriot Act of FISA. Alleen data van klanten die door OVH US worden gehost, zouden in aanmerking komen voor verzoeken van Amerikaanse autoriteiten.
Op de eigen Amerikaanse website noemt OVH US dat het zal voldoen aan wettige verzoeken van publieke autoriteiten en dat dit onder de Cloud Act in sommige gevallen ook gegevens kan omvatten die buiten de VS worden opgeslagen, mits deze binnen de jurisdictie van OVH US vallen. De bredere discussie over extraterritoriale toegang tot data blijft daarmee onderwerp van interpretatie, waarbij OVHcloud benadrukt dat zijn Europese entiteiten buiten het bereik van de Amerikaanse wetgeving vallen.
het is precies deze reactie van Microsoft die zorgen baart.
Vragen om data in te zien kan altijd, dat zegt niets over de verplichting te moeten leveren.
als je gebruikmaakt van de Amerikaanse vestiging van OVHcloud – of de data staat formeel “in control of” de Amerikaanse entiteit – dan kan de Amerikaanse overheid data opeisen.
Europese data op Europese cloud valt dus buiten cloud act.
Het ligt eigenlijk nog allemaal net iets gecompliceerder, maar das des te meer reden om je data af te schermen van Amerikaanse betrokkenheid.
VS en Europa kijken verschillend tegen het soevereiniteit.
Bij ons heeft het ook een ethische kant, het recht om zelf te beslissen. Leuk voor bijvoorbeeld Oekraine en Palestina.
In Amerika gaat het om een ander recht, dat van de sterkste.
Tijd om volwassen te worden tenzij we door willen met thank you daddy.
De meneer gaat er even aan voorbij dat Amerikaanse bedrijven ook een geheime subpoena kunnen krijgen waarover ze niets mogen vertellen en wat zelfs strafbaar is als ze het wel doen. Zulke bevelen kunnen niet aan Europese bedrijven gegeven worden, dat zou onze soevereiniteit rechtstreeks schaden.
Dus er zijn genoeg redenen om over te stappen naar een Europese soevereine datacentra.
Natuurlijk gaan de Amerikaanse cloud-giganten nu allerlei vage praatjes houden om geen klanten te zien vertrekken. “Er zijn geen nieuwe bevoegdheden gecreëerd” betekent gewoon: “We konden dit altijd al maar jullie waren gewoon te onnozel om dat in te zien.”
De juridische kanttekeningen van Dino gaan niet om het recht van de sterkste als we kijken naar de mogelijkheid tot weigeren van verzoeken. Want de impact van Cloud Act versus dezelfde nieuwsgierigheid van Europese partijen gaat uiteindelijk om het voldoen aan verzoeken tot inzage. Laten we daarom zeggen dat Dino alweer een open deur intrapt omdat dit al lang bekend is door Edward Snowden.
Keuterboertje en zijn Europese soevereine datacentra gaan vooral om zoiets als de versleuteling van ‘clouddata’ want Microsoft vergeet even dat ze hun AI modellen trainen op data die niet van hun is. China en Rusland maken het opvragen van data die onjuist is interessant in dit spel als we kijken naar hondjes van Pavlov. Bullwinkel heeft een klok horen luiden maar weet nog niet waar de klepel hangt.
Europese politie- en opsporingsdiensten zijn inderdaad net zo kwalijk als we kijken naar een sleepnet-wet welke onmogelijk zijn in de USA. De juridische kanttekeningen in een Europese wetgeving mist namelijk zoiets als een grondwettelijk kader. Bullwinkel heeft daarin gelijk maar die klepel blijkt niet uit zijn verhaal.
De Cloud Act eruit lichten en daar twijfel over zaaien wat betreft eventuele verplichtingen van Europese cloudaanbieders is hier de tactiek. Eentje die de hyperscalers blijven toepassen bij gebrek aan een echt antwoord op de vraag naar meer digitale soevereiniteit vanuit de EU. Plus een narratief in stand houden dat je ze nodig zou hebben om innovatie te bevorderen of versnellen, terwijl echte digitale transformatie en de daarvoor benodigde innovatie een ander wereldbeeld en dus ook andere businessmodellen vereist.
Oudlid, je noemt alleen maar nog meer redenen om te vertrekken bij de niet-europese hyperscalers. Versleuteling is leuk voor confidentiality maar niet voor availability. En waarom alleen vertrouwen op versleuteling mbt vertrouwelijkheid ?
Soevereiniteit staat los van altijd juiste beslissingen nemen, los van integriteit, los van hypocrisie. Het gaat om zelfstandigheid en verantwoording nemen ipv toekijken hoe grootmachten de wereld verdelen.
Door de hond gebeten en de kat gekrabd wijs ik op Europese inlichtingsdiensten die hetzelfde doen want Edward Snowden wees op het gemak van ‘availability’ als we kijken naar de ladingsplaats van data. Want de belofte van Europese providers is als de metafoor van D66 die luchtkastelen wil bouwen als we kijken naar het narratief van Fred.
Veiligheid is een nobel doel maar verplichtingen van de ongerichte spionage middels een sleepnetwet is vele malen erger dan de CLOUD act. Definitie soevereiniteit is lastig als we kijken naar de ‘availability’ want de integriteit staat niet los van hypocrisie als we kijken naar zoiets als de bewijslast. Versleuteling versus vertrouwelijkheid in een westers wereldbeeld gaat vooral om Rudyard Kipling.
Dus nee, ik pleit niet voor een vertrek van niet-Europese providers maar voor een Europese sleutelkast die om de regie op de data gaat. Soevereiniteit staat niet los van altijd de juiste beslissingen nemen als wie deze influisterde om één van six honest serving men gaat. Want wie het kleine niet leert, doet het grote verkeerd zoals ik jaren geleden al voorspelde.
Zelfstandigheid en verantwoording nemen i.p.v. toekijken hoe grootmachten de wereld verdelen is niet iets wat Europa de afgelopen 20 jaar gedaan heeft. Militair zijn we afhankelijk van de NAVO waarvan contributie flink omhoog is gegaan. En economisch zijn we afhankelijk van Rusland voor goedkope energie en arbeid om even terug te komen op Rudyard Kipling want als een klein land zijn we groot in het voeden van de wereld.
het gaat op zich om juiste beslissingen nemen.
welke dat zijn, is nogal wisselvallig met hier en daar een bui.
maar altijd fijn als het ten minste je eigen beslissingen zijn.
eigen scheten ruikt men trouwens liever dan die van een ander 😉
https://en.wikipedia.org/wiki/E-Estonia, “het kan wel”, om d66 te citeren.
“Digital by necessity” describes how Estonia adopted a digital-first approach to government and services out of a need for modernization following the collapse of the Soviet Union, rather than making a voluntary choice
. This necessity led to the rapid development of a digital society, making it a prime example of how a crisis can drive rapid technological transformation