BLOG – De discussie over de Cloud Act en digitale soevereiniteit staat volop in de belangstelling. Het debat wordt echter regelmatig gevoed door aannames die ongemerkt als feiten worden gepresenteerd. Wanneer informatie ontbreekt, ontstaan al snel emotionele reacties, en dat is geen solide basis voor een inhoudelijke en constructieve dialoog.
Dit kan leiden tot polarisatie en vormt soms zelfs een voedingsbodem voor wantrouwen en negatieve gevoelens. Juist daarom is nuance essentieel. De Cloud Act is in de kern bedoeld om veiligheid en rechtshandhaving te versterken, niet om willekeurige controle uit te oefenen. Ook digitale soevereiniteit speelt met goede intenties een prominente rol in het debat. Zoals bij veel complexe vraagstukken geldt echter dat er altijd meerdere perspectieven zijn. Door ruimte te maken voor die verschillende kanten van het verhaal ontstaat begrip, en daarmee een gesprek dat verder gaat dan angst of aannames.
Amerikaanse wet
De Cloud Act (Clarifying Lawful Overseas Use of Data Act) is een Amerikaanse wet uit 2018 die het voor Amerikaanse opsporingsinstanties mogelijk maakt om technologiebedrijven te verplichten gegevens te verstrekken, ook wanneer deze data fysiek buiten de Verenigde Staten zijn opgeslagen. De wet geldt voor organisaties die onder Amerikaans rechtsgebied vallen, waaronder grote internationale cloud- en technologieproviders. Het primaire doel van de Cloud Act is het versterken van internationale opsporing en rechtshandhaving, met name bij zware criminaliteit zoals terrorisme, drugscriminaliteit en cybercrime. Door meer juridische duidelijkheid te bieden, moet de wet langdurige conflicten over de locatie en toegankelijkheid van data voorkomen.
Data van Europese burgers, organisaties en overheden kunnen indirect onder Amerikaanse rechtsmacht vallen
Tegelijkertijd roept de Cloud Act in Europa belangrijke vragen op. De wet kan namelijk op gespannen voet staan met de Europese privacywetgeving, met name de Algemene Verordening Gegevensbescherming (AVG). Hierdoor ontstaat een spanningsveld tussen Amerikaanse vorderingen tot gegevensverstrekking en de Europese verplichting om persoonsgegevens te beschermen. In de praktijk kan dit betekenen dat data van Europese burgers, organisaties en overheden indirect onder Amerikaanse rechtsmacht vallen, zonder dat hier Europese democratische controle tegenover staat. Dit zet druk op het principe van datasoevereiniteit en transparantie.
Een nuancepunt is dat de Cloud Act geen onbeperkte of willekeurige toegang tot data toestaat. Bedrijven kunnen zich juridisch verweren en belangenafwegingen spelen een rol. Desondanks vindt de uiteindelijke besluitvorming plaats binnen het Amerikaanse juridische kader, wat bij Europese partijen onzekerheid veroorzaakt over rechtsbescherming en zeggenschap over data. Om deze risico’s te beperken, nemen organisaties diverse technische en organisatorische maatregelen, zoals sterke encryptie, klantgestuurd sleutelbeheer, contractuele afspraken met leveranciers en het uitvoeren van gegevensbeschermende effectbeoordelingen (DPIA’s). Hoewel deze maatregelen de risico’s verkleinen, kunnen zij de toepassing van de Cloud Act niet volledig uitsluiten.
Controle
De discussie rond de Cloud Act loopt parallel aan de discussie over het streven naar digitale soevereiniteit. Digitale soevereiniteit verwijst naar het vermogen van landen en regio’s om controle te behouden over hun digitale infrastructuur, data en technologie. Voor Nederland en de Europese Unie wordt dit onderwerp steeds belangrijker. Een belangrijk voordeel van digitale soevereiniteit is de toegenomen controle over data.
De uitvoering van digitale soevereiniteit is complex. De digitale wereld is sterk geglobaliseerd en verweven, waardoor volledige onafhankelijkheid in de praktijk nauwelijks haalbaar is. Eenzijdige focus op nationale of regionale oplossingen kan leiden tot fragmentatie van het internet en kan internationale handel en samenwerking belemmeren. Een alles-in-Nederland-benadering werkt belemmerend en staat haaks op het principe van een vrije markt. Effectieve beveiliging, duidelijke en goed afgestemde wet- en regelgeving en een bewuste verdeling van risico’s bieden organisaties op de lange termijn meer houvast.
Nieuwe wetgeving
Europa werkt ondertussen aan een eigen juridisch kader, waaronder nieuwe wetgeving die vergelijkbaar is met de Cloud Act. Dit benadrukt het belang van een gezamenlijke Europese aanpak, waarin samenwerking centraal staat. Daarbij moet niet alleen worden gekeken naar juridische en technische maatregelen, maar ook naar realistische risicobeheersing. Hoe geavanceerd wetgeving ook is, één factor blijft constant: hackers lezen geen wetten, en juist daarom blijven goede beveiliging, bewustzijn en samenwerking cruciaal.
Ruud Pieterse, enterprise-architect DXC Technology

De CLOUD Act is in principe extraterritoriale wetgeving en daardoor illegaal omdat het een grove inbreuk is op de soevereiniteit van Europese landen. Maar doordat Amerika een hypermacht is die wereldwijde hegemonie nastreeft kunnen ze zich dit soort absurde wetgeving veroorloven.
De EU moet simpelweg wetgeving maken dat voldoen aan de CLOUD Act waarbij de data op Europese bodem opgeslagen is strafbaar is en dus gevangenisstraf gaat opleveren voor de directie van desbetreffende bedrijven.
Dan kunnen deze bedrijven de keus maken: of niet aan de CLOUD Act gehoor geven of de Europese markt verlaten.
Helemaal eens, echter de poltiek en een stel complotdenkers geloven nog in verbieden en ontwijken. Als zo IT-beleid wordt gemaakt dan kunnen we net zo goed Bassie en Adriaan aan het roer zetten.
Zoals de SG van het Ministerie van Binnenlandse zaken die een inlegvelletje wilde voor de overname van Solvinity waarin stond dat de Amerikanen beloofden onze data niet te stelen of op zwart te zetten.
Wat een sukkel. Het is echt een beerput van incompetentie daar bij de ambtenarij.
Aan de andere kant realiseer ik mij dat de EU ook extraterritoriale wetgeving heeft omdat zij menen dat als een dienst Europese klanten heeft deze onder de Europese wetgeving valt. Ook al heeft deze dienstverlener geen servers in de EU staan.
Sommige Amerikaanse bedrijven hebben al gezegd dat ze lak hebben aan de Europese regels zolang hun servers alleen in de VS staan. De rechtszaak tegen hen loopt op dit moment.
Ik ben van mening dat dit juridisch punt na meer dan 30 jaar nog steeds niet is opgelost. Ook al denkt iedereen dat dit wel het geval is.
Ruud maakt zijn belofte niet waar.
Ontrafelen zou een compleet en duidelijk beeld moeten geven en geen “aannames die ongemerkt als feiten worden gepresenteerd”.
Niet alleen hackers lezen geen wetten.
Dat doet Trump namelijk ook niet.
En dat hoe Cloud Act in de kern bedoeld is, zal hem een zorg zijn.
Het is een machtsmiddel dat hij weer gaat gebruiken.
Op alle 3 zijden van de CIA triad.
Dus niet alleen in de privacy komt in gevaar, ook de integrity en availability.
Zo bezien is de Cloud act is maar 1 aspect t.o.v. soevereiniteit.
In machtspolitiek doen afspraken er niet toe.
Daarom heet het ook machtspolitiek.
Boertje gaat er weer met een oprisping in.
Dat Amerika er eerst voor de Amerikanen is hoeft niet illegaal te zijn.
Het strafbaar maken van voldoen aan cloud act plaatst Amerikaanse hyperscalers in onmogelijke positie:
Ze zijn verplicht aan VS data te verstrekken maar dan strafbaar in Europa.
Er zit ook nog wat verantwoordelijkheid bij de klant.
Als oudlid of iemand anders ook nog reageert, zal ik wel vertellen waarom die reactie ook weer niet deugt 😉
Dino, de grap is dat Trump de CloudAct helemaal niet nodig heeft om zijn invloed uit te oefenen buiten de wettelijke kaders (zie het ASML verhaal). CloudAct was alleen bedoeld om de uitwisseling te versnellen omdat de officiele wegen niet snel genoeg gingen.
Reacties die wel of niet deugen is als het morele kompas van Jack want wie juridisch, technisch of organisatorisch kan meekijken zal dat onder de juiste omstandigheden ook doen. Dat geldt niet alleen voor de Amerikanen met de Cloud Act maar net zo goed voor Nederland met een Sleepwet want beide wetten dienen de nationale veiligheid. Want zodra de communicatie en gegevens zich niet meer aan de landsgrenzen houden wensen overheden dat hun bevoegdheden meebewegen met deze ontwikkeling zodat ze niet verrast worden. Dit niet omdat privacy onbelangrijk zou zijn maar omdat staten nu eenmaal willen voorkomen dat zij blind worden voor de risico’s die zich steeds vaker buiten hun traditionele jurisdictie afspelen.
Het gaat dus niet om ontrafelen maar een tegenstrijdigheid want iedere overheid wil toegang tot informatie kunnen afdwingen wanneer zij dat noodzakelijk acht, de vraag gaat meer om de proportionaliteit als we kijken naar de ‘bijvangst’ van informatievergaring. Aan Dino dus de uitdaging om uit te leggen welke nevenschade zwaarder weegt in het publieke belang als we kijken naar een tegenstrijdig belang tussen nationale veiligheid en privacy. Want het waarborgen van het één kan nu eenmaal niet zonder het beperken van het ander zoals we eerder zagen tijdens een pandemie.
Wat betreft de belangenafweging die bedrijven kunnen maken had Ruud ook de Wet ter voorkoming van witwassen en financieren van terrorisme kunnen noemen. Ook daar accepteert de wetgever een zekere mate van ‘bijvangst’ omdat het publieke belang van fraudebestrijding, terrorismefinanciering en opsporing zwaarder wordt geacht. Daarmee laat de discussie zien dat het niet zozeer gaat om de vraag óf privacy mag worden beperkt maar waar de grens ligt tussen een proportionele maatregel en een disproportionele inbreuk op fundamentele rechten.
Dat maakt de discussie over de Cloud Act ook complexer dan vaak wordt voorgesteld want de praktijk is niet simpelweg “Amerikaanse overheid vraagt, bedrijf levert” als we kijken naar de commerciële belangen. Want dezelfde bedrijven die nu worden bekritiseerd vanwege hun macht kunnen ook een rem vormen op overheidsmacht. De vraag wordt dan niet alleen wie toegang tot informatie mag afdwingen, maar ook wie uiteindelijk bepaalt of zo’n verzoek proportioneel is. De overheid, de rechter of het bedrijf dat de gegevens beheert? En daarmee verschuift de macht van democratisch gecontroleerde instituties naar private partijen die zelf een belangenafweging maken.
Daar is ook nog de GDPR act die je kan noemen. Er is geen enkele hierarchie tussen de europese wetten en de CloudAct. https://gdpr-info.eu/
Soevereiniteit speelt overal, ook wie bepaalt welke vraag relevant is.
Net zoals Ruud beperk je je tot privacy, terwijl een driehoek meerdere kanten heeft.
Soevereiniteit gaat hier op land niveau, niet op dat van de burgers.
Tegenstrijdige belangen dwingen een keuze te maken als meerdere belangen waarde hebben.
De waarde echter om Trump en opvolgers in staat staat stellen om Europa alweer te chanteren is me nog steeds niet duidelijk.
Dat Trump inderdaad daarbij de Cloud act niet eens nodig heeft, is juist mijn punt.
Onzin Ruud, want actie is reactie als we kijken naar 9/11 en de daaropvolgende opschorting of beperking van eerder vanzelfsprekend geachte rechten door een andere hiërarchie van belangen. Juist daardoor is de discussie interessanter dan een tegenstelling tussen privacy en veiligheid. Jammer ook dat Dino niet doet wat hij eerder beloofd had. De waarde van tegenstrijdige belangen gaat namelijk niet over het chanteren van Europa, maar over het begrijpen hoe onderlinge verdeeldheid kan worden benut. Mijn eerdere reactie ging tenslotte vooral over een machtsverschuiving van democratische instituties naar private organisaties als we kijken naar het onderwerp soevereiniteit.
Want GDPR wordt vaak gepresenteerd als één Europees kader maar kent in de praktijk allerlei nationale accenten en uitzonderingen. Dat is geen fout in het systeem maar een gevolg van de hiërarchie binnen een rechtsstelsel waarin de verschillende publieke belangen voortdurend tegen elkaar worden afgewogen. Daardoor bestaat er niet één absolute interpretatie van privacy maar ontstaat ruimte voor nationale veiligheidsbelangen, opsporing, fiscale belangen en andere uitzonderingen. Want de vraag is niet of er tegenstrijdigheden bestaan maar wie uiteindelijk bepaalt welk belang op een bepaald moment voorrang krijgt. De toezichthouder is tenslotte niet dwars van politiek als we kijken naar de sancties.
Tenslotte gaat de chantage van Trump vooral over de contributie voor de NAVO om een driehoek waarin veiligheid, welvaart en soevereiniteit met elkaar zijn verbonden. Meer veiligheid door afhankelijkheid van een bondgenoot kan nu eenmaal ten koste gaan van strategische autonomie terwijl meer autonomie hogere economische en militaire kosten met zich meebrengt. Juist daardoor gaat soevereiniteit minder over data en technologie dan over de vraag welke afhankelijkheden een samenleving bereid is te accepteren.
Keuters oplossing lijkt wat uit frustratie bedacht. Wel effectief, maar niet efficient want Amerikaanse hyperscalers zijn vaak heel nuttig. Alleen let wel op je landsbelang.
Laatst las ik mooi artikel in agconnect over Minimal Viable Company : https://www.agconnect.nl/business/security/waarom-elke-organisatie-een-mvc-nodig-heeft
Zoiets uitwerken, maar dan voor de staat. Een Minimal Viable Country 😉 waarover je zelf de regie houdt.
De Amerikaanse hyperscalers zijn helemaal niet efficient. Het is gewoon een andere vorm van vendor lock-in. Heb je hun winstcijfers wel eens gezien?
De Amerikaanse Cloud providers zijn hartstikke duur maar het management heeft zich laten ompraten dat het besparingen zou gaan opleveren. Daar is niets van terecht gekomen (sterker nog: ze zijn veel meer kwijt) maar omdat de Cloud oplossingen allemaal lock-in opleveren is het niet zo makkelijk om de zaken weer terug te draaien.
Ook de ontwikkelaars wilden allemaal Azure of AWS op hun CV hebben staan. Dat was ook een reden dat veel bedrijven zijn overgegaan op Cloud.