De CLOUD Act in jip-en-janneketaal en waarom je data niet echt van jou zijn

De CLOUD Act in jip-en-janneketaal en waarom je data niet echt van jou zijn

41 keer gelezen sinds
28 april 2026
11
minuten leestijd
11
minuten leestijd
41 keer gelezen sinds
publicatiedatum:28 april 2026

Op de vraag of hij kon garanderen dat data van Franse burgers niet zonder toestemming naar de VS zou gaan, antwoordde de directeur publieke zaken van Microsoft Frankrijk de senaat in 2025 met drie woorden. “Nee, niet garanderen.”

Dat is het hele probleem in één zin. De Amerikaanse CLOUD Act bestaat sinds 2018 en bepaalt dat elk Amerikaans techbedrijf data van zijn klanten moet overhandigen aan de Amerikaanse overheid. Het maakt niet uit waar de data staat. Een datacenter in Amsterdam, Frankfurt of Dublin verandert daar niets aan.

Alvast 5 van de belangrijkste punten

  1. De CLOUD Act geldt voor alle Amerikaanse softwarebedrijven, ook als hun servers in Nederland staan.
  2. Een verwerkersovereenkomst, een EU-datacenter of een Amerikaans-Europees verdrag biedt geen technische bescherming.
  3. De Algemene Rekenkamer waarschuwde de Rijksoverheid begin 2025 dat het cloudgebruik soevereiniteitsrisico’s oplevert.
  4. De EU Data Act vereist sinds september 2025 dat aanbieders maatregelen nemen tegen onrechtmatige toegang door derde landen.
  5. Een paar Nederlandse en Europese alternatieven bestaan al, maar de overstap kost tijd en politieke wil.

Wat de CLOUD Act precies is

CLOUD staat voor Clarifying Lawful Overseas Use of Data. De wet werd in maart 2018 in Washington getekend en had één duidelijk doel. Amerikaanse opsporingsdiensten moesten ook bij data kunnen die fysiek buiten de VS stond, zolang een Amerikaans bedrijf die data beheerde. De directe aanleiding was een rechtszaak waarin Microsoft weigerde e-mails af te staan die op een server in Ierland stonden. De CLOUD Act maakte die discussie overbodig.

De voorwaarden lijken streng. Een order moet een specifiek persoon, account of apparaat noemen, en moet betrekking hebben op zware criminaliteit of terrorisme. Maar in de praktijk bestaat er geen onafhankelijk Europees toezicht op die afweging. De Amerikaanse rechter beoordeelt of een verzoek redelijk is, en het bedrijf dat de data beheert moet meewerken. Bezwaar maken kan, maar wel binnen het Amerikaanse rechtssysteem.

De drie perspectieven van de CLOUD Act, van veelvoorkomende misvattingen tot de technische maatregelen die wel echte bescherming bieden. Bronnen: EDPB-EDPS, Schrems II, EU Data Act, Algemene Rekenkamer.
De drie perspectieven van de CLOUD Act, van veelvoorkomende misvattingen tot de technische maatregelen die wel echte bescherming bieden. Bronnen: EDPB-EDPS, Schrems II, EU Data Act, Algemene Rekenkamer.

Waarom een datacenter in Amsterdam niet helpt

De gangbare misvatting is dat data fysiek in Europa houden voldoende is. Dat klopt niet. De CLOUD Act volgt de eigenaar, niet de locatie. Microsoft, Google, Amazon en Apple zijn Amerikaanse rechtspersonen. Hun Europese dochters draaien op infrastructuur die het moederbedrijf controleert. Wat het moederbedrijf kan zien of opvragen, kan de Amerikaanse overheid via een gerechtelijk bevel ook opvragen.

Een tweede misvatting is dat versleuteling het probleem oplost. Dat hangt ervan af wie de sleutel beheert. Als Microsoft de versleuteling uitvoert en de sleutel zelf bewaart, kan een rechter het bedrijf opdragen die sleutel af te geven. Pas wanneer de klant de sleutel zelf in handen heeft, en het Amerikaanse bedrijf er technisch niet bij kan, biedt encryptie echte bescherming. Het Europese Comité voor gegevensbescherming noemt dat klant-gecontroleerde encryptie, en wijst het aan als de enige technische maatregel die in de buurt komt van garantie.

Voor- en nadelen van Amerikaanse cloudsoftware

Voordelen

  • Volwassen functionaliteit en breed ondersteund door integraties
  • Lage instapkosten dankzij schaalvoordelen van miljardenbedrijven
  • Dagelijks vertrouwde gebruikersomgeving voor medewerkers
  • Snelle uitrol van nieuwe functies, zoals AI-assistenten

Nadelen

  • Toegang door Amerikaanse autoriteiten technisch niet uit te sluiten
  • Botsing met de AVG bij verwerking van bijzondere persoonsgegevens
  • Lock-in: overstappen kost jaren en miljoenen, vooral bij grote organisaties
  • Geen invloed op prijs- of voorwaardenwijzigingen vanuit Redmond of Mountain View

Hoe Europa zich juridisch verzet

Het Europese Comité voor gegevensbescherming, de gezamenlijke koepel van alle nationale toezichthouders, oordeelde al in 2019 dat de CLOUD Act in directe strijd is met artikel 48 van de AVG. Dat artikel zegt dat een gerechtelijk bevel uit een derde land alleen mag worden uitgevoerd als er een internationaal verdrag bestaat. Tussen de VS en de EU is dat verdrag er niet. Het Schrems II-arrest van het Europese Hof van Justitie uit 2020 voegde daar nog aan toe dat het oude Privacy Shield ongeldig was, juist omdat Amerikaanse wetgeving zoals de CLOUD Act geen gelijkwaardige bescherming biedt.

De vervanger, het Data Privacy Framework uit 2023, zit op dezelfde dunne juridische ijs. In het voorjaar van 2025 ontsloeg de regering-Trump drie van de vijf leden van het toezichtsorgaan dat de Amerikaanse beloftes onder dat verdrag moest controleren. Het orgaan kan sindsdien geen besluiten meer nemen. De EU Data Act, die op 12 september 2025 van toepassing werd, dwingt cloudaanbieders inmiddels actief om Europese data te beschermen tegen toegang door derde landen. Maar daar zit een addertje. Hoofdstuk VII van die wet geldt alleen voor niet-persoonsgegevens. Voor persoonlijke data blijft de oude AVG-route de hoofdroute, met alle Schrems II-eisen die daarbij horen.

Infographic
KLIK OM TE VERGROTEN

Wat dit voor Nederland concreet betekent

De Algemene Rekenkamer publiceerde in januari 2025 het rapport Het Rijk in de cloud. Conclusie: de Rijksoverheid heeft beperkt zicht op haar eigen cloudgebruik en weegt soevereiniteitsrisico’s onvoldoende. Tegelijk loopt de migratie naar Microsoft 365 voor tienduizenden ambtenaren gewoon door. In een rapport van de Auditdienst Rijk werd de CLOUD Act expliciet als aanvaard risico benoemd. De Nederlandsche Bank en de AFM trokken eind 2025 aan de bel over de afhankelijkheid van Big Tech in de financiële sector.

Voor zorginstellingen is het patroon vergelijkbaar. De Data Protection Impact Assessment van Microsoft 365 Copilot, opgesteld door SLM Rijk in december 2024, vond structurele tekorten rond toegang door Amerikaanse autoriteiten. Voor Nederlandse organisaties die persoonsgegevens verwerken, is een Amerikaans cloudpakket dus geen gratis keuze. Het is een afweging die in elke risicoanalyse expliciet moet worden gemaakt en verantwoord. Dat gebeurt te weinig.

Verklarende woordenlijst

  • CLOUD Act: Amerikaanse wet uit 2018 die Amerikaanse bedrijven verplicht data af te staan aan de eigen overheid, ongeacht waar die data fysiek staan.
  • AVG (GDPR) Artikel 48: Bepaalt dat een gerechtelijk bevel uit een derde land alleen via een internationaal verdrag mag worden uitgevoerd. De CLOUD Act omzeilt dit.
  • Schrems II: Arrest van het Europese Hof van Justitie uit 2020 dat het Privacy Shield ongeldig verklaarde wegens onvoldoende bescherming tegen Amerikaanse surveillance.
  • EU Data Act: Verordening 2023/2854. Verplicht sinds september 2025 aanbieders om technische maatregelen te nemen tegen onrechtmatige toegang door overheden buiten de EU.
  • Klant-gecontroleerde encryptie: De afnemer beheert de encryptiesleutel zelf; de aanbieder kan technisch nooit bij de leesbare data.

Wat je zelf kunt doen

De moeilijkste stap is bewustwording. Veel organisaties weten niet eens precies waar hun data staan en wie er fysiek bij kan. Een eenvoudige inventarisatie levert vaak verrassingen op. Welke leveranciers zijn Amerikaans, welke zijn dochterondernemingen van Amerikaanse moederbedrijven, en welke werken met servers binnen Nederlandse jurisdictie? Vraag het bij elke leverancier op. Zet het zwart op wit.

De tweede stap is technisch. Bij data waarvan een lek echt schade oplevert, persoonsgegevens, medische dossiers, juridische correspondentie, is klant-gecontroleerde encryptie de minimumeis. Dat betekent: jij of een Nederlandse partij beheert de sleutel, niet de cloudaanbieder. Voor minder gevoelige data weegt het gemak van een Amerikaans pakket misschien zwaarder, maar dan wel als bewuste keuze.

Welke alternatieven al bestaan

De gedachte dat er geen alternatieven zijn, klopt al jaren niet meer. Voor opslag en e-mail bestaan Nederlandse aanbieders zoals TransIP, Combell en KPN. Voor samenwerken zijn er Nextcloud (oorspronkelijk Duits, nu wereldwijd open source) en Cryptpad. Voor productiviteit bieden LibreOffice en OnlyOffice volledige tekstverwerker- en spreadsheetfuncties. Voor video-vergaderen werkt Jitsi. Voor zoeken bestaan alternatieven die privacy serieus nemen.

De drempel is zelden de techniek. Die ligt op het gebrek aan integratie en bij gewoonte. Een organisatie die al jaren in Microsoft Teams werkt, stapt niet zomaar over. Maar een nieuwe organisatie kan er bij oprichting wel voor kiezen. En een grote organisatie kan stap voor stap migreren, beginnend bij de meest gevoelige data. Zwitserland deed het bij Palantir. Het kan ook bij de standaard kantoorsoftware.

De juridische eye-opener

De grootste denkfout in dit dossier is dat data-soevereiniteit een juridisch probleem is dat met contracten kan worden opgelost. Een verwerkersovereenkomst, een Standard Contractual Clause, een datacenter in Frankfurt: het zijn allemaal papieren afspraken. De CLOUD Act overruled ze. Pas als de Amerikaanse partij technisch niet bij de leesbare data kan, biedt het systeem echte bescherming. Soevereiniteit moet je in de architectuur bouwen, niet in het kleine lettertype.

Lees ook: Het manifest van Palantir en de keuze die Nederland en Europa nu moeten maken

Conclusie

De CLOUD Act is geen exotisch juridisch detail. Het is de structurele reden waarom elke verwerking van Europese data in een Amerikaans cloudpakket een open vraag bevat over wie er meeleest. Voor sommige toepassingen is dat een aanvaard risico. Voor andere is het een onaanvaardbare blootstelling.

De Algemene Rekenkamer wees naar het probleem. De Nederlandsche Bank wees ernaar. De Franse senaat hoorde het van Microsoft zelf. Wat ontbreekt is een politieke keuze om er iets aan te doen. Die keuze maakt zichzelf niet, en wachten op Brussel is geen eigen koers. Wachten is overgave.

Geraadpleegde bronnen:

De onderstaande referenties vormen de inhoudelijke onderbouwing van dit artikel.

Gerelateerde artikelen

https://goodfeeling.nl/wp-content/uploads/2026/04/INFOGRAPHIC-Wie-de-data-bezit-heeft-de-macht-en-schrijft-de-wet.webp
Wie de data bezit heeft de macht en schrijft dus de wet – What could possibly go wrong?
Palantir staat al in Nederland en de rest van Europa
Palantir staat al in Nederland en de rest van Europa, en hun zeer duidelijke manifest maakt duidelijk waarom dat een probleem is
Opkomende werelden - Contact is al begonnen
Opkomende werelden – Contact is al begonnen, maar zij wij hier wel klaar voor?
Ongelooflijk scherpe foto ‘toont een 15 meter brede schotelvormige UFO die uit een storm tevoorschijn komt voordat hij de ruimte in verdwijnt
Trump belooft UFO-dossiers vrij te geven – maar hoe realistisch is volledige transparantie?
De trompetplant en scopolamine
De trompetplant en scopolamine – Wat is daar zo bijzonder en gevaarlijk aan?

Veelgestelde vragen

Geldt de CLOUD Act ook voor Microsoft 365 in Nederland?

Ja. Microsoft is een Amerikaans bedrijf, dus alle data die Microsoft beheert valt onder de wet, inclusief data in Microsofts Nederlandse datacenters. Dit is in 2025 expliciet bevestigd door Microsoft Frankrijk in de Franse senaat.

Helpt het als mijn data is versleuteld?

Alleen als jij of een Nederlandse partij de encryptiesleutel beheert. Als de Amerikaanse aanbieder de sleutel heeft, kan een rechter daar in de VS verplichten die sleutel af te geven. Dit heet klant-gecontroleerde encryptie en is volgens het Europese Comité voor gegevensbescherming de enige effectieve technische maatregel.

Mag ik volgens de AVG nog wel met Amerikaanse cloudaanbieders werken?

Een verbod bestaat niet. Wel moet je als verwerkingsverantwoordelijke aantoonbaar de risico’s hebben afgewogen. Voor bijzondere persoonsgegevens (zoals medische of strafrechtelijke gegevens) zijn aanvullende technische maatregelen vrijwel altijd nodig om aan AVG-eisen te voldoen.

Wat verandert de EU Data Act sinds september 2025?

Cloudaanbieders moeten technische, juridische en organisatorische maatregelen nemen om onrechtmatige toegang door overheden van buiten de EU te voorkomen. Bij een verzoek moeten ze actief beoordelen of het in strijd is met EU-recht en het zo nodig aanvechten. Dit geldt voor niet-persoonsgegevens; voor persoonsgegevens blijft de AVG de leidende route.

Welke Nederlandse alternatieven zijn er voor Microsoft 365?

Voor opslag en e-mail bestaan Nederlandse aanbieders zoals TransIP, Combell en KPN. Voor samenwerken Nextcloud en Cryptpad, voor kantoorsoftware LibreOffice en OnlyOffice, voor video-vergaderen Jitsi. Geen pakket biedt op dit moment de volledige integratie van Microsoft 365, maar voor specifieke toepassingen zijn de alternatieven ruim toereikend.

Klik op een ster om dit artikel te beoordelen!

Gemiddelde waardering / 5. Stemtelling:

Tot nu toe geen stemmen! Ben jij de eerste dit bericht waardeert?

Wil je een positieve bijdrage, of een eigen ervaring toevoegen aan dit artikel? Dat mag ook een gevonden spelfout zijn, of een feitelijke onjuistheid. Je bijdrage wordt sowieso zeer gewaardeerd. Red. GoodFeeling.nl 🙏🏼

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *


Image Not Found

Tags

Fact checking: Nick Haenen, Spelling en grammatica: Sofie Janssen

Fact checking: Nick Haenen
&
Spelling en grammatica: 
Sofie Janssen

Geschreven door

Nick Haenen

Nick Haenen is sportdiëtist en oprichter van Goodfeeling.nl. Sinds 1997 vertaalt hij complexe wetenschap over voeding, gezondheid en mindset naar praktische en begrijpelijke inzichten. Zijn achtergrond in Voeding & Diëtetiek (Hogeschool Almere, Vrije Universiteit Amsterdam) vormt de basis voor zijn nuchtere en holistische benadering van welzijn.
Vinden

Meest gelezen in de maand mei

Eindelijk een biologisch wapen tegen de nanoplastics in je lichaam en het staat gewoon in je koelkast
Eindelijk een biologisch wapen tegen de nanoplastics in je lichaam en je kan het heel simpel zelf maken + handleiding
Palantir staat al in Nederland en de rest van Europa
Palantir staat al in Nederland en de rest van Europa, en hun zeer duidelijke manifest maakt duidelijk waarom dat een probleem is
De 3 niveaus liefde test
De 3 niveaus liefde test
Alles wat je wil komt wanneer je ophoudt het te vragen - Waarom bidden je kan vasthouden in wat je juist wil veranderen
Alles wat je wil komt wanneer je ophoudt het te vragen – Waarom bidden je kan vasthouden in wat je juist wil veranderen
Wat een neurochirurg met 7.000 operaties op zijn naam zegt over het verschil tussen brein en bewustzijn
Wat een neurochirurg met 7.000 operaties op zijn naam zegt over het verschil tussen brein en bewustzijn

Icoon voor Mannen Gids
Supplementen Gids Voor Mannen
Supplementen Gids Voor Vrouwen

Supplementen Tools

🥩
Proteïne Calculator Voor spierherstel & bouw
🧠
Creatine (Dagelijks) Focus & fysieke kracht
Creatine Brein-Boost Bij acuut slaaptekort
GoodFeeling Original
Bewustzijn voorbij de dood e-book

Is de dood een muur,
of een deur?

111 casussen • 47 landen
M
A
J
86 mensen gingen je voor
€ 9,95 −50%
€ 5,00 Meer informatie
🔒 Direct downloaden · PDF

Niks missen?

facebook
Image Not Found

GoodFeelingnl - LIGHT - 350px
rating-goodfeeling

Gemiddelde beoordeling van onze lezers


Totaal aantal pageviews:  10.447.529
2.813 artikelen gepubliceerd sinds 1997

GoodFeeling.nl is een non-profit initiatief. We streven naar zorgvuldig beeldgebruik. Bij vragen over rechten: info@goodfeeling.nl.

© 2026 GoodFeeling.nl

Ontwerp, ontwikkeling en realisatie: Rebelics Internet & Computer Services