Je gebruikt Microsoft 365 voor je bedrijfs e-mail. SharePoint voor documenten. Misschien Azure voor je applicaties. De servers staan in een datacenter in Nederland of Ierland. Alles netjes binnen de EU. Toch?
Technisch gezien wel. Juridisch gezien is het ingewikkelder. Want Microsoft is een Amerikaans bedrijf. En daarmee valt je data onder Amerikaanse wetgeving, ongeacht waar de servers fysiek staan. De wet die dat mogelijk maakt: de CLOUD Act.
Wat is de CLOUD Act precies?
De Clarifying Lawful Overseas Use of Data Act werd in maart 2018 aangenomen door het Amerikaanse Congres. De wet geeft Amerikaanse autoriteiten het recht om data op te vragen bij bedrijven die onder Amerikaanse jurisdictie vallen, ook als die data buiten de VS is opgeslagen.
De aanleiding was een juridisch gevecht tussen Microsoft en het Amerikaanse ministerie van Justitie. Microsoft weigerde e-maildata over te dragen die op servers in Ierland stond. De zaak liep tot aan het Hooggerechtshof, maar werd ingehaald door de CLOUD Act, die het punt simpelweg wettelijk regelde: locatie van data is niet relevant, jurisdictie over het bedrijf wel.
Concreet betekent dit: als een Amerikaanse rechter een bevel uitvaardigt aan Microsoft, Google, Amazon of welk ander Amerikaans bedrijf dan ook, dan moet dat bedrijf de gevraagde data leveren. Of die data nu in Virginia staat of in Amsterdam.
Hoe werkt het in de praktijk?
De CLOUD Act is geen blanco cheque. Er zijn voorwaarden. Een dataverzoek moet gebaseerd zijn op een geldig huiszoekingsbevel (warrant) of dagvaarding (subpoena), gekoppeld aan een specifiek strafrechtelijk onderzoek. Het gaat dan om zaken als terrorisme, kindermisbruik, cybercriminaliteit of drugshandel.
De cijfers bevestigen dat. Microsofts transparantierapport over de eerste helft van 2025 laat zien dat het bedrijf 168 verzoeken voor zakelijke klantdata ontving van opsporingsdiensten wereldwijd. In 57% van die gevallen werd het verzoek afgewezen, ingetrokken, of werd de dienst doorverwezen naar de klant zelf. In 27 gevallen moest Microsoft daadwerkelijk inhoudelijke data overhandigen, waarvan 23 aan Amerikaanse opsporingsdiensten.
AWS zegt dat er tot juni 2025 geen enkel verzoek is geweest waarbij enterprise- of overheidsdata buiten de VS aan de Amerikaanse overheid is verstrekt.
Dat klinkt geruststellend. Maar het is niet het hele verhaal.
Waarom de cijfers niet alles zeggen
Ten eerste: de CLOUD Act is niet de enige wet waarmee Amerikaanse autoriteiten bij data kunnen. FISA Section 702 geeft inlichtingendiensten de mogelijkheid om zonder rechterlijk bevel data te verzamelen van niet-Amerikanen. Die verzoeken verschijnen niet in transparantierapporten van bedrijven, omdat ze onder geheimhoudingsplicht vallen.
Ten tweede: het feit dat er weinig verzoeken zijn, betekent niet dat het risico klein is. Het gaat om de mogelijkheid. Als je organisatie morgen onderwerp wordt van een Amerikaans onderzoek, dan is er niets dat je Nederlandse hostingcontract juridisch zwaarder laat wegen dan een Amerikaans bevel.
Ten derde: de CLOUD Act voorziet in zogenaamde executive agreements, bilaterale verdragen tussen de VS en andere landen. Het Verenigd Koninkrijk was het eerste land dat zo'n verdrag sloot (actief sinds oktober 2022), gevolgd door Australie. Via deze verdragen kunnen ook niet-Amerikaanse opsporingsdiensten data opvragen bij Amerikaanse providers, met minder procedurele stappen dan via het traditionele MLAT-systeem (Mutual Legal Assistance Treaty).
De EU heeft nog geen executive agreement met de VS onder de CLOUD Act. Maar de richting is duidelijk: het netwerk van landen dat direct data kan opvragen bij Amerikaanse techbedrijven groeit.
Hoe een CLOUD Act-verzoek werkt
Bron: CLOUD Act Section 2713, 18 U.S.C. · Microsoft Transparency Report H1 2025
CLOUD Act versus AVG: een juridisch conflict zonder oplossing
Hier wordt het lastig. De AVG (GDPR) stelt in Artikel 48 dat een rechterlijke uitspraak van een land buiten de EU niet automatisch een geldige basis is om persoonsgegevens over te dragen. Dat mag alleen op basis van een internationaal verdrag, zoals een MLAT. De CLOUD Act omzeilt het MLAT-systeem.
Dat plaatst bedrijven in een onmogelijke positie. Voldoe je aan het Amerikaanse bevel, dan overtreed je mogelijk de AVG. Weiger je, dan riskeer je sancties in de VS. Het European Data Protection Board (EDPB) is er helder over: een CLOUD Act-verzoek is op zichzelf geen geldige rechtsgrond voor een dataoverdracht onder de AVG.
Het Data Privacy Framework dat de EU en VS in 2023 afsloten lost dit niet op. Het DPF gaat over de voorwaarden waaronder persoonsgegevens naar de VS mogen worden doorgestuurd. Het staat niet in de weg van een CLOUD Act-bevel, want dat loopt via een ander juridisch spoor.
De Algemene Rekenkamer trekt aan de bel
In januari 2025 publiceerde de Algemene Rekenkamer het rapport "Het Rijk in de cloud – Donkere wolken pakken samen". De conclusies waren niet mals. Het Rijk heeft maar beperkt zicht op zijn clouddiensten. Van de 1.588 gerapporteerde clouddiensten bij ministeries is van ruim een kwart niet eens bekend welke vorm van cloud het betreft.
Meer dan de helft van de belangrijkste public cloud-diensten wordt ingekocht bij Amerikaanse bedrijven: Amazon, Microsoft en Google. Bij 67% van die diensten is geen strategische risicoafweging gemaakt. De Rekenkamer stelt dat de rijksoverheid "ondoordacht" is gaan werken in de cloud, en dat de mogelijke schade "onze maatschappij kan ontwrichten".
Staatssecretaris Zsolt Szabó (Digitalisering) deelde de hoofdconclusie en erkende dat meer sturing en toezicht nodig is. Maar concrete stappen laten op zich wachten.
"Sovereign cloud": marketing of werkelijkheid?
Microsoft biedt een "EU Data Boundary" aan. Amazon heeft een "European Sovereign Cloud". Google heeft "Sovereign Controls". De namen suggereren volledige controle. Maar soevereiniteit gaat niet over waar data staat. Het gaat over wie er zeggenschap over heeft.
Zolang de provider een Amerikaans bedrijf is, geldt de CLOUD Act. De Europese dochterbedrijven en datacenterlocaties veranderen daar niets aan. Het is jurisdiction-by-ownership, niet jurisdiction-by-location.
Dat betekent niet dat deze producten waardeloos zijn. De extra encryptielagen, key management opties en toegangscontroles die erbij zitten bieden reele bescherming. Maar ze lossen het juridische basisprobleem niet op: als de Amerikaanse overheid aanklopt bij het moederbedrijf, is dat moederbedrijf wettelijk verplicht mee te werken.
Beschermingsniveaus tegen buitenlandse datatoegang
Bescherming neemt toe van boven naar beneden. Het juridische risico bepaalt het niveau, niet de technische configuratie alleen.
Wat kun je als bedrijf doen?
1. Breng in kaart welke providers Amerikaans zijn
Niet alleen je primaire cloudprovider, maar ook de diensten eromheen. Gebruik je Slack voor communicatie? Salesforce voor CRM? Dat zijn Amerikaanse bedrijven die onder de CLOUD Act vallen. Maak een inventarisatie van je volledige keten.
2. Classificeer je data
Niet alles is even gevoelig. Een marketingwebsite heeft andere eisen dan een patientendossier of personeelsadministratie. Bepaal welke data je bij een Europese provider wilt onderbrengen en waar het risico acceptabel is.
3. Gebruik encryptie met eigen sleutelbeheer
Als je bij een Amerikaanse provider blijft, zorg dan dat je customer-managed encryption keys (CMEK) gebruikt. De CLOUD Act verplicht providers niet om data te ontsleutelen die ze technisch niet kunnen ontsleutelen. Als jij de sleutel beheert, kan de provider de data niet in leesbare vorm overdragen.
Alle grote providers bieden dit aan: Microsoft via Azure Key Vault, AWS via KMS met CloudHSM, Google via Cloud KMS met External Key Manager.
4. Evalueer Europese alternatieven
Voor gevoelige workloads zijn er Europese alternatieven die niet onder Amerikaanse jurisdictie vallen. Nederlandse providers met eigen datacenters bieden volledige AVG-compliance zonder het CLOUD Act-risico. Het gaat dan niet om een kwaliteitsverschil, maar om een jurisdictieverschil. Cloud.nl biedt private cloud en hybride cloud oplossingen waarbij data, infrastructuur én juridische controle volledig in Nederland blijven.
5. Leg je keuzes vast
Met NIS2 (de Cyberbeveiligingswet, verwacht Q2 2026) worden supply chain-afwegingen verplicht. Bestuurders worden persoonlijk aansprakelijk. Documenteer waarom je voor bepaalde providers kiest, welke risico's je accepteert, en welke maatregelen je hebt getroffen.
De kern
De CLOUD Act is geen massasurveillancewet. De aantallen verzoeken zijn beperkt, providers vechten regelmatig verzoeken aan, en er zitten rechterlijke waarborgen in het proces. Dat zijn feiten.
Maar het is ook een wet die het principe van territoriale databescherming doorbreekt. Als je provider Amerikaans is, kan de Amerikaanse overheid bij je data, ongeacht waar die staat, ongeacht wat je Nederlandse contract zegt, en in sommige gevallen zonder dat je het weet.
Voor sommige organisaties is dat risico acceptabel. Voor anderen, zeker in de zorg, overheid, financiele sector of bij het verwerken van gevoelige persoonsgegevens, is het dat niet. De vraag is niet of de CLOUD Act je raakt. De vraag is of je weet hoe, en of je er bewust mee omgaat.