BLOG – De discussie over de Cloud Act en digitale soevereiniteit staat volop in de belangstelling. Het debat wordt echter regelmatig gevoed door aannames die ongemerkt als feiten worden gepresenteerd. Wanneer informatie ontbreekt, ontstaan al snel emotionele reacties, en dat is geen solide basis voor een inhoudelijke en constructieve dialoog.
Dit kan leiden tot polarisatie en vormt soms zelfs een voedingsbodem voor wantrouwen en negatieve gevoelens. Juist daarom is nuance essentieel. De Cloud Act is in de kern bedoeld om veiligheid en rechtshandhaving te versterken, niet om willekeurige controle uit te oefenen. Ook digitale soevereiniteit speelt met goede intenties een prominente rol in het debat. Zoals bij veel complexe vraagstukken geldt echter dat er altijd meerdere perspectieven zijn. Door ruimte te maken voor die verschillende kanten van het verhaal ontstaat begrip, en daarmee een gesprek dat verder gaat dan angst of aannames.
Amerikaanse wet
De Cloud Act (Clarifying Lawful Overseas Use of Data Act) is een Amerikaanse wet uit 2018 die het voor Amerikaanse opsporingsinstanties mogelijk maakt om technologiebedrijven te verplichten gegevens te verstrekken, ook wanneer deze data fysiek buiten de Verenigde Staten zijn opgeslagen. De wet geldt voor organisaties die onder Amerikaans rechtsgebied vallen, waaronder grote internationale cloud- en technologieproviders. Het primaire doel van de Cloud Act is het versterken van internationale opsporing en rechtshandhaving, met name bij zware criminaliteit zoals terrorisme, drugscriminaliteit en cybercrime. Door meer juridische duidelijkheid te bieden, moet de wet langdurige conflicten over de locatie en toegankelijkheid van data voorkomen.
Data van Europese burgers, organisaties en overheden kunnen indirect onder Amerikaanse rechtsmacht vallen
Tegelijkertijd roept de Cloud Act in Europa belangrijke vragen op. De wet kan namelijk op gespannen voet staan met de Europese privacywetgeving, met name de Algemene Verordening Gegevensbescherming (AVG). Hierdoor ontstaat een spanningsveld tussen Amerikaanse vorderingen tot gegevensverstrekking en de Europese verplichting om persoonsgegevens te beschermen. In de praktijk kan dit betekenen dat data van Europese burgers, organisaties en overheden indirect onder Amerikaanse rechtsmacht vallen, zonder dat hier Europese democratische controle tegenover staat. Dit zet druk op het principe van datasoevereiniteit en transparantie.
Een nuancepunt is dat de Cloud Act geen onbeperkte of willekeurige toegang tot data toestaat. Bedrijven kunnen zich juridisch verweren en belangenafwegingen spelen een rol. Desondanks vindt de uiteindelijke besluitvorming plaats binnen het Amerikaanse juridische kader, wat bij Europese partijen onzekerheid veroorzaakt over rechtsbescherming en zeggenschap over data. Om deze risico’s te beperken, nemen organisaties diverse technische en organisatorische maatregelen, zoals sterke encryptie, klantgestuurd sleutelbeheer, contractuele afspraken met leveranciers en het uitvoeren van gegevensbeschermende effectbeoordelingen (DPIA’s). Hoewel deze maatregelen de risico’s verkleinen, kunnen zij de toepassing van de Cloud Act niet volledig uitsluiten.
Controle
De discussie rond de Cloud Act loopt parallel aan de discussie over het streven naar digitale soevereiniteit. Digitale soevereiniteit verwijst naar het vermogen van landen en regio’s om controle te behouden over hun digitale infrastructuur, data en technologie. Voor Nederland en de Europese Unie wordt dit onderwerp steeds belangrijker. Een belangrijk voordeel van digitale soevereiniteit is de toegenomen controle over data.
De uitvoering van digitale soevereiniteit is complex. De digitale wereld is sterk geglobaliseerd en verweven, waardoor volledige onafhankelijkheid in de praktijk nauwelijks haalbaar is. Eenzijdige focus op nationale of regionale oplossingen kan leiden tot fragmentatie van het internet en kan internationale handel en samenwerking belemmeren. Een alles-in-Nederland-benadering werkt belemmerend en staat haaks op het principe van een vrije markt. Effectieve beveiliging, duidelijke en goed afgestemde wet- en regelgeving en een bewuste verdeling van risico’s bieden organisaties op de lange termijn meer houvast.
Nieuwe wetgeving
Europa werkt ondertussen aan een eigen juridisch kader, waaronder nieuwe wetgeving die vergelijkbaar is met de Cloud Act. Dit benadrukt het belang van een gezamenlijke Europese aanpak, waarin samenwerking centraal staat. Daarbij moet niet alleen worden gekeken naar juridische en technische maatregelen, maar ook naar realistische risicobeheersing. Hoe geavanceerd wetgeving ook is, één factor blijft constant: hackers lezen geen wetten, en juist daarom blijven goede beveiliging, bewustzijn en samenwerking cruciaal.
Ruud Pieterse, enterprise-architect DXC Technology
De CLOUD Act is in principe extraterritoriale wetgeving en daardoor illegaal omdat het een grove inbreuk is op de soevereiniteit van Europese landen. Maar doordat Amerika een hypermacht is die wereldwijde hegemonie nastreeft kunnen ze zich dit soort absurde wetgeving veroorloven.
De EU moet simpelweg wetgeving maken dat voldoen aan de CLOUD Act waarbij de data op Europese bodem opgeslagen is strafbaar is en dus gevangenisstraf gaat opleveren voor de directie van desbetreffende bedrijven.
Dan kunnen deze bedrijven de keus maken: of niet aan de CLOUD Act gehoor geven of de Europese markt verlaten.