// datasoevereiniteit

US Cloud Act: Waarom Uw Bedrijfsdata Niet Veilig Is Bij Amerikaanse Clouddiensten

De US Cloud Act geeft de Amerikaanse overheid toegang tot uw bedrijfsdata — ook als die data in Nederland of Europa staat. Wat dit concreet betekent voor Nederlandse bedrijven en hoe u zich beschermt.

8 juni 20268 min leestijdAnzers Cloud

Op 23 maart 2018 ondertekende de Amerikaanse president de Clarifying Lawful Overseas Use of Data Act — beter bekend als de US Cloud Act. Sindsdien hebben de Verenigde Staten wettelijk het recht om data op te eisen bij Amerikaanse technologiebedrijven, ongeacht waar die data fysiek is opgeslagen. Ook als uw bedrijfsdata in een Nederlands of Duits datacenter staat.

Dit klinkt abstract. Maar de praktische consequenties voor Nederlandse bedrijven, zorgaanbieders, advocaten en overheden zijn concreet en zwaarwegend.

2018Jaar Cloud Act ondertekend
5+Grote US cloudaanbieders in scope
72uAVG meldplicht bij datalek
0EU-rechters nodig voor VS-bevel

Wat is de US Cloud Act precies?

De Cloud Act verplicht Amerikaanse bedrijven — zoals Microsoft, Google, Amazon, Apple en Dropbox — om op verzoek van de Amerikaanse overheid data te verstrekken. Dit geldt ook voor data die opgeslagen is op servers buiten de VS. De wet is een aanvulling op de Electronic Communications Privacy Act en maakt het voor de VS makkelijker om in buitenlandse datacenters van Amerikaanse bedrijven te kijken.

De sleutelzin: "regardless of where it is located." Het maakt de wet niet uit of uw data in Amsterdam, Frankfurt of Dublin staat — zolang de beherende partij een Amerikaans bedrijf is, valt de data binnen het bereik van de Cloud Act.

// voorbeeld

Concreet voorbeeld: U gebruikt Microsoft 365 voor uw e-mail en documentbeheer. De servers staan in het Microsoft-datacenter in Amsterdam. Toch kan het Amerikaanse Ministerie van Justitie een bevel uitvaardigen aan Microsoft om uw e-mails te overhandigen — zonder dat u als gebruiker hiervan op de hoogte bent, en zonder tussenkomst van een Nederlandse rechter.

Welke Amerikaanse cloudproviders vallen hieronder?

De Cloud Act is van toepassing op alle providers die als electronic communications service provider of remote computing service provider kwalificeren en in de VS zijn gevestigd of zakendoen. In de praktijk betekent dit:

  • Microsoft — Microsoft 365, Azure, OneDrive, Teams
  • Google — Workspace (Gmail, Drive, Meet), Google Cloud
  • Amazon — AWS, WorkMail, WorkDocs
  • Apple — iCloud
  • Dropbox — Dropbox Business, Paper
  • Slack (Salesforce) — Slack Business+
  • Zoom — Zoom Meetings, Phone, Docs

Vrijwel alle grote cloudplatforms die in Nederland breed gebruikt worden, zijn in handen van of gecontroleerd door Amerikaanse moederbedrijven.

De impact op Nederlandse bedrijven: sector per sector

Gezondheidszorg

Patiëntgegevens vallen in Nederland onder het medisch beroepsgeheim (art. 7:457 BW) en de AVG/GDPR. Beiden verbieden ongeautoriseerde toegang tot medische data. Toch kan de Cloud Act de Amerikaanse overheid in staat stellen patiëntgegevens op te eisen bij een Amerikaanse cloudprovider — zonder medeweten van de patiënt of de zorgverlener. Ziekenhuizen en huisartsenpraktijken die hun EPD (Elektronisch Patiëntdossier) hosten bij een Amerikaanse provider lopen dit risico direct.

Advocatuur en notariaat

Het verschoningsrecht beschermt in Nederland de vertrouwelijke communicatie tussen advocaat en cliënt. Toch maakt de Cloud Act geen uitzondering voor geprivilegieerde communicatie. Advocatenkantoren die hun cliëntdossiers opslaan in Microsoft 365 of Google Workspace kunnen worden geconfronteerd met Amerikaans overheidsingrijpen — ook in gevoelige zaken waarbij de Nederlandse rechtsstaat een belang heeft.

Financiële dienstverlening

Banken, verzekeraars en vermogensbeheerders werken met uiterst vertrouwelijke klantinformatie en bedrijfsstrategieën. De Cloud Act kan inzicht geven in fusie- en overname-informatie, handelsstategieën en klantdossiers aan een buitenlandse overheid.

Overheden en publieke instellingen

Nederlandse gemeenten, ministeries en publieke instellingen gebruiken steeds vaker commerciële cloudplatforms. Dat maakt overheidsdata potentieel bereikbaar voor de VS — een fundamenteel soevereiniteitsvraagstuk dat ook de Europese Commissie zorgen baart.

De botsing met de AVG: een onoplosbaar dilemma

De Algemene Verordening Gegevensbescherming (AVG) verplicht organisaties die persoonsgegevens verwerken tot strikte beveiliging, doelbinding en transparantie. Tegelijkertijd verplicht de Cloud Act Amerikaanse providers tot geheime gegevensverstrekking aan de overheid.

Dit creëert een onoplosbaar dilemma voor elke Amerikaanse cloudprovider actief in de EU:

  • Voldoen aan de Cloud Act = potentieel AVG-schending (heimelijke doorgifte zonder rechtsgrondslag)
  • Weigeren op grond van de AVG = potentieel strafbaar in de VS

Het Europese Hof van Justitie oordeelde in 2020 in het Schrems II-arrest dat de overdracht van persoonsgegevens naar de VS problematisch is vanwege Amerikaanse surveillancewetgeving — waaronder precies dit soort bevoegdheden. Hoewel het EU-VS Data Privacy Framework (2023) een nieuw kader biedt, laat de Cloud Act zelf ongewijzigd.

"Het EU-VS Data Privacy Framework biedt meer waarborgen dan Privacy Shield, maar de fundamentele spanning met de CLOUD Act blijft bestaan zolang die wet van kracht is."

Hoe beschermt u uw organisatie?

1. Kies een Europese cloudprovider

De meest directe oplossing: gebruik een cloudprovider die niet onder de Cloud Act valt. Dat betekent een provider die géén onderdeel is van een Amerikaans bedrijf, géén significante aanwezigheid in de VS heeft, en uitsluitend opereert onder Europees recht.

2. Pas end-to-end encryptie toe

Als u verplicht bent een Amerikaanse provider te gebruiken, overweeg dan client-side encryptie: u versleutelt data vóór upload, zodat de provider zelf de sleutels niet bezit. Een rechtsbevel geeft dan alleen toegang tot onleesbare versleutelde data. Let op: dit werkt niet voor cloudapplicaties die uw data moeten kunnen lezen (zoals e-mail of tekstverwerkingssoftware).

3. Voer een data-inventarisatie uit

Weet welke data u waar opslaat, en hoe gevoelig die data is. Prioriteer migratie van uw meest gevoelige data (medische dossiers, juridische stukken, strategische informatie) naar een Cloud Act-vrije omgeving.

4. Raadpleeg uw Functionaris Gegevensbescherming (FG)

Organisaties met een FG-verplichting doen er verstandig aan dit risico te bespreken. De Autoriteit Persoonsgegevens heeft richtlijnen gepubliceerd over het gebruik van Amerikaanse cloudproviders bij de verwerking van persoonsgegevens.

Anzers Cloud: buiten bereik van de Cloud Act

Anzers Cloud is een Nederlands bedrijf, onderdeel van Anzers. Wij zijn niet Amerikaans, vallen niet onder de Cloud Act en zijn uitsluitend gebonden aan Nederlands en Europees recht.

Praktisch betekent dit:

  • Uw data staat uitsluitend op servers in Nederland
  • Geen enkel buitenlands rechtsbevel kan ons verplichten data te verstrekken zonder tussenkomst van een Nederlandse rechter
  • Ons platform is gebouwd op open source — auditeerbaar, transparant, zonder verborgen koppelingen
  • U sluit een contract onder Nederlands recht, met een Nederlandse rechtbank als bevoegde rechter

Wilt u meer weten over datasoevereiniteit? Lees ons soevereiniteitspagina of neem direct contact op.

Veelgestelde vragen over de US Cloud Act

Geldt de US Cloud Act ook voor data die in Nederlandse of Europese datacenters staat?

Ja. De US Cloud Act is van toepassing op alle data die beheerd wordt door een Amerikaans bedrijf, ongeacht waar die data fysiek is opgeslagen. Als uw data bij Microsoft, Google of Amazon staat — ook in hun Nederlandse datacenters — kan de Amerikaanse overheid die data opvragen.

Is Microsoft 365 veilig voor Nederlandse bedrijven gezien de Cloud Act?

Microsoft is een Amerikaans bedrijf en valt daarmee onder de US Cloud Act. Dit betekent dat de VS in principe toegang kan eisen tot data in Microsoft 365, ook als de servers in Europa staan. Voor bedrijven met strenge privacyverplichtingen — zoals in de zorg, advocatuur of overheid — is dit risico reëel en juridisch relevant.

Biedt de AVG/GDPR bescherming tegen de US Cloud Act?

De AVG en de US Cloud Act conflicteren fundamenteel met elkaar. Uw cloudprovider is AVG-plichtig in Europa, maar ook Cloud Act-plichtig in de VS. In de praktijk: een Amerikaans bedrijf zal bij een bindend Amerikaans rechtsbevel data verstrekken. De AVG biedt geen absolute bescherming zolang de provider zelf Amerikaans is.

Welke sectoren lopen het meeste risico door de US Cloud Act?

Gezondheidszorg, juridische dienstverlening, financiële sector en overheden lopen het hoogste risico. In deze sectoren gelden strikte vertrouwelijkheidsplichten die direct conflicteren met de mogelijkheid van Amerikaanse overheidstoegang.

Hoe bescherm ik mijn bedrijfsdata effectief tegen de Cloud Act?

De meest effectieve bescherming is het gebruik van een cloudprovider die niet onder de US Cloud Act valt: een Europees bedrijf met Europese eigendomsstructuur en hosting in de EU. Aanvullend kunt u client-side encryptie toepassen zodat de provider zelf geen toegang heeft tot uw data.

// meer lezen

// nextcloud

Nextcloud: het beste open source alternatief voor Microsoft 365

Documenten, agenda, chat en video — volledig in eigen beheer en zonder Cloud Act-risico.

// open source

Open source cloud: meer controle, geen vendor lock-in

Waarom transparantie en open standaarden de basis zijn van echte datasoevereiniteit.

// beslissers

7 vragen die elke directeur zijn cloudprovider moet stellen

De checklist die iedere directeur of CTO zou moeten gebruiken voordat zij een cloudcontract tekenen.

Klaar voor de volgende stap?

Zet jouw data terug in eigen handen.

Anzers Cloud is bijna klaar. Meld je aan voor de wachtlijst en je hoort als eerste wanneer we live gaan.

Zet me op de wachtlijstIs het iets voor mij?