Toen Microsoft het ICC afsloot: het incident uit 2025 dat het Europese cloudbeleid veranderde

door BetterInEurope | | 8 min lezen
digital-sovereigntyEU-toolscompliancecloud-sovereigntygovernance

Het incident, in vijf zinnen

In 2025 legden de Verenigde Staten sancties op aan de hoofdaanklager van het Internationaal Strafhof (ICC), als reactie op onderzoeken van het ICC waar de Amerikaanse regering zich tegen verzette. Kort daarna verloor de aanklager toegang tot zijn Microsoft-mailbox. Microsoft, gevestigd in de VS, had juridisch geen mogelijkheid om de naleving van het sanctieregime te weigeren. Het ICC — een internationaal verdragsorgaan met hoofdzetel in Den Haag en formeel gaststatus binnen Nederland — ontdekte midden in een onderzoek dat de e-mailinfrastructuur die zijn vervolgingsfunctie ondersteunde, afhing van de discretie van de Amerikaanse uitvoerende macht. Het is tot dusver de meest concrete illustratie van het feit dat “datalokalisatie in Europa” niet hetzelfde is als “digitale soevereiniteit”.

Waarom juist dit incident ertoe doet

Het Europese beleidsdebat over cloudsoevereiniteit behandelde de CLOUD Act en de Schrems-arresten jarenlang als theoretische risico’s. Ja, in beginsel konden de Amerikaanse autoriteiten Amerikaanse bedrijven dwingen om data vrij te geven die overal ter wereld werd opgeslagen. Ja, in beginsel opereerden de transatlantische gegevensoverdrachten onder fragiele juridische regimes. Maar voor de meeste inkoopteams bleef dit een abstracte zorg. Iedereen bleef gewoon Microsoft 365-contracten tekenen.

Het ICC-incident is wat dit verschoof van “abstracte zorg” naar “rechtstreeks aangetoond”. Een zittende aanklager van een van de belangrijkste internationale tribunalen ter wereld verloor het basisgereedschap van zijn werk — e-mail — vanwege een beslissing die in Washington werd genomen. Niet een uitspraak van een Amerikaanse rechtbank. Een sanctieorder van de uitvoerende macht, toegepast op een Amerikaans bedrijf, uitgevoerd tegen een in Europa gevestigde instelling die voorafgaand aan de overstap op Microsoft 365 waarschijnlijk uitvoerig due diligence had gedaan.

Als zelfs het ICC het mailaccount van zijn aanklager kan zien worden afgesloten, is de structurele vraag voor elk Europees ziekenhuis, ministerie, elke universiteit, bank en advocatenkantoor eenvoudig: wat is hier de blootstelling?

De structurele les

De les is niet “Microsoft heeft iets fout gedaan”. Microsoft handelde precies zoals elke in de VS gevestigde aanbieder zou handelen, en aantoonbaar moest handelen, gegeven het juridische kader waarbinnen het opereert.

De les is dat de keuze om kritieke Europese activiteiten op een in de VS gevestigde cloudinfrastructuur te draaien betekent dat je accepteert dat de Amerikaanse uitvoerende macht op elk moment kan besluiten dat een bepaalde Europese gebruiker niet langer gemachtigd is om de dienst te gebruiken. Dat is geen theoretische mogelijkheid. Het is al gebruikt.

De blootstelling bestaat uit drie lagen:

Directe afsluiting op gebruikersniveau. De ICC-zaak. Een specifiek persoon wordt aangewezen en zijn of haar toegang tot Amerikaanse diensten wordt beëindigd. Dit geldt voor iedereen die het Amerikaanse sanctieregime raakt — in toenemende mate ook voor diplomaten, advocaten, ngo’s en onderzoekers die werken in politiek gevoelige gebieden.

Verstoring op organisatieniveau. Grotere sanctiebesluiten kunnen hele entiteiten treffen. Europese bedrijven die handel drijven met onder sancties staande landen zijn al geconfronteerd met het opzeggen van diensten door Amerikaanse aanbieders, vaak zonder veel waarschuwing vooraf.

Datatoegang via buitenlandse juridische procedures. De CLOUD Act blijft van kracht. Amerikaanse autoriteiten kunnen Amerikaanse aanbieders dwingen data vrij te geven, ongeacht waar die data zich fysiek bevindt. Dat staat los van sancties, maar werkt via hetzelfde structurele kanaal.

Europese datalokalisatie biedt geen oplossing voor één van deze drie. Het Microsoft-datacenter in Frankfurt waar uw gegevens staan, wordt nog steeds beheerd door een Amerikaans bedrijf dat onder Amerikaans recht valt. Het opslaan van data in Europa verandert niets aan de jurisdictie van het bedrijf dat de sleutels in handen heeft.

Wat de ICC-zaak specifiek aantoonde

Een aantal zaken die de ICC-zaak empirisch concreet maakte op een manier waarop eerdere discussies dat niet deden:

Snelheid. De afsluiting ging snel. Er was geen langdurig juridisch proces zichtbaar voor buitenstaanders, geen onderhandelingsperiode. Op de ene dag werkte de e-mail; op de volgende dag niet meer.

Asymmetrie in opties. Het ICC, als klant, had geen zinvolle verhaalsmogelijkheid. De leverancier, als Amerikaanse rechtspersoon, had geen keuze. De beslissing lag bij geen van beide partijen in de klantrelatie.

Zichtbaarheidskloof. De episode werd publiek bekend omdat er een prominente instelling en een prominente functionaris bij betrokken waren. Het aantal minder zichtbare incidenten waarbij kleinere Europese klanten betrokken zijn in sanctiegerelateerde omstandigheden, is onbekend, maar vermoedelijk niet nul.

Reputatie-indamming. De bredere Europese omzet van Microsoft werd in commerciële zin nauwelijks geraakt door deze episode. Het structurele risico werd zichtbaar, maar de inertie van de bestaande zakelijke klantenbasis absorbeerde de politieke druk.

Wat Europese inkoop hieruit zou moeten concluderen

Drie conclusies op inkoopniveau zijn nu verdedigbaar op een manier die in 2024 nog niet zo was.

1. Voor vervolgings-, justitiële en juridisch gevoelige workloads zijn Amerikaanse cloudaanbieders niet geschikt. Dit is geen voorzorgsstandpunt meer. Er is rechtstreeks precedent.

2. Voor workloads die politieke of diplomatieke blootstelling aan Amerikaanse sanctieregimes met zich meebrengen, geldt dezelfde conclusie. Dat raakt diplomatieke diensten, intergouvernementele organisaties, bepaalde ngo’s en elke Europese instelling waarvan het werk geopolitieke brandhaarden raakt.

3. Voor gewone commerciële workloads is de afweging verschoven, maar niet omgekeerd. Kosten, functionaliteit en integratie blijven van belang. Maar het antwoord op “wat is het slechtste scenario” is nu concreet genoeg dat risicoregisters dit moeten weerspiegelen.

Voor de meeste Europese publieke inkopers wijst dit in de richting van aanbieders die structureel buiten het Amerikaanse juridische bereik vallen. Dat betekent:

  • Aanbieders gevestigd in de EU of Zwitserland
  • Gehost in EU- of Zwitserse datacenters
  • Werkend onder EU- of Zwitsers recht zonder ondergeschikte Amerikaanse rechtspersonen
  • Bij voorkeur gecertificeerd onder Europese soevereine-cloudkaders (SecNumCloud, BSI C5, het komende EUCS)

In de cloudinfrastructuur is de lijst van aanbieders die aan al deze criteria voldoen kort: OVHcloud, Scaleway, Hetzner, Infomaniak, de diverse nationale-kampioenclouds in Frankrijk, Duitsland en Italië, en een handvol gespecialiseerde spelers.

De governance-laag

Het kiezen van een niet-Amerikaanse aanbieder lost niet automatisch alles op. De vraag wat gebeurt er als die aanbieder in 2029 wordt overgenomen door een Amerikaanse strategische speler is reëel. Een Europese aanbieder die wordt verkocht aan AWS levert je met enige vertraging hetzelfde probleem op als waarmee je begon.

Daarom is de aankondiging van de Infomaniak-stichting van mei 2026 structureel van belang. Steward-eigenaarschap — het juridische mechanisme dat overdracht van aandelen aan externe overnemers verhindert — sluit het gat dat een gewone “in de EU gevestigde” vestiging openlaat. We hebben elders apart geschreven over steward-eigenaarschap en waarom het ertoe doet voor Europese technologische soevereiniteit.

Voor inkoopteams die nadenken over leverancierrisico op de lange termijn, wordt “is deze leverancier structureel beschermd tegen overname door Amerikaanse tech” een vraag die het stellen waard is. Hij voegt zich bij de bestaande vraag: “is deze leverancier structureel beschermd tegen Amerikaans juridisch bereik?”

Hoe de Europese beleidsreactie eruitziet

In de maanden na het ICC-incident kwamen verschillende beleidssporen in een stroomversnelling.

Steun voor EUCS-soevereiniteitscriteria. De omstreden soevereiniteitseisen in het European Cybersecurity Certification Scheme for Cloud Services kregen hernieuwde steun van lidstaten die voorheen ambivalent waren. Het argument verschoof van “hebben we dit nodig?” naar “we hadden het al nodig.”

EU-cloudfirst-aanbestedingsrichtlijnen. Verschillende lidstaten — Frankrijk (al langer), Italië, België, Nederland — vaardigden nieuwe of strengere richtlijnen uit die publieke kopers en gereguleerde sectoren in de richting van Europees-soevereine cloud sturen, waar dat haalbaar is.

De Microsoft-ICC-clausules. Er verschenen nieuwe aanbestedingstemplates die specifiek ingaan op afsluitscenario’s onder sancties — waarbij aanbieders moeten verklaren wat hun eigen juridische blootstelling is en kennisgeving- en herstelrechten moeten verstrekken vóór beëindiging van de toegang. Die zijn niet perfect (Amerikaanse aanbieders kunnen de meeste van deze toezeggingen juridisch niet doen), maar ze signaleren een verschuiving in koperverwachtingen.

Workload-categorisering. Risicokaders begonnen workloads te classificeren op blootstelling aan sanctiestopzettingen, niet alleen op de gevoeligheid van data. Een workload die “niet persoonsidentificerend” maar wel “operationeel kritisch” is, krijgt een nieuwe kolom in de spreadsheet.

Wat niet is veranderd

Eerlijkheid vereist dat we erkennen dat dit voor de meeste Europese bedrijven niets verandert aan de dagelijkse realiteit. Microsoft 365 blijft het pad van de minste weerstand. AWS blijft het breedste functiepalet bieden. De migratiekosten van het wegstappen van Amerikaanse aanbieders zijn reëel. Veel Europese inkoopteams zullen dit blijven afwegen en voor de meeste workloads blijven kiezen voor Amerikaanse aanbieders.

Dat is niet per definitie onjuist. De afweging is reëel en de uitkomst zal voor verschillende organisaties verschillend zijn.

Wat wel is veranderd, is dat voor bepaalde workloads — gevoelig voor sancties, juridisch kritisch, soevereiniteits-essentieel — de berekening nu eenduidig weg wijst van Amerikaanse aanbieders. Die categorie bestond in theorie altijd al. Na 2025 bestaat ze ook in de praktijk.

De praktische conclusie

Als u een Europese inkoop- of risicoverantwoordelijke bent, is de productieve vraag die voortvloeit uit het ICC-incident niet “moeten we in paniek raken over Microsoft?”. Het antwoord daarop is nee.

De productieve vraag is: welke van onze workloads zouden, als ze morgen offline gingen, schade veroorzaken die we niet kunnen accepteren, en zijn die workloads op dit moment afhankelijk van de discretie van de Amerikaanse uitvoerende macht?

Voor de meeste organisaties is dat een kleine subset van workloads. Maar niet nul. En het antwoord op die vraag stuurt nu inkoopbeslissingen aan op een manier waarop de abstracte discussie over de CLOUD Act dat in de afgelopen zeven jaar niet deed.

Soevereiniteit houdt op een ideologie te zijn zodra iets concreets aantoont waar de kloof zit. Het ICC-incident van 2025 is hoe die concrete demonstratie eruitziet.

Wilt u beginnen met het in kaart brengen van de blootstelling van uw eigen organisatie? Dan loopt onze US Exposure Assessment-tool twintig veelvoorkomende Amerikaanse leveranciers door, met de soevereiniteitslaag onder elk van hen. Of gebruik de keuzewizard voor een Europese alternatievenlijst op categorieniveau.

De les van het ICC-incident is niet dat soevereiniteit ertoe doet. De les is dat soevereiniteit ophoudt optioneel te zijn zodra je hebt gezien hoe ze faalt.

Was dit nuttig?

Blijf Op De Hoogte

Ontvang het laatste nieuws over Europese alternatieven en digitale soevereiniteit.

Wij respecteren je privacy. Op elk moment uitschrijven. Geen tracking, geen spam.