Woordenlijst · Amerikaanse surveillancewet CLOUD Act (Clarifying Lawful Overseas Use of Data Act)
Een Amerikaanse federale wet uit 2018 die Amerikaanse autoriteiten in staat stelt Amerikaanse bedrijven en hun dochterondernemingen te dwingen gegevens te overhandigen, ongeacht waar die gegevens fysiek zijn opgeslagen.
## Wat de CLOUD Act eigenlijk doet
De Clarifying Lawful Overseas Use of Data Act (H.R. 4943) werd in maart 2018 aangenomen door het Amerikaanse Congres en wijzigde de Stored Communications Act. De wet doet twee dingen:
1. Stelt Amerikaanse rechtshandhaving in staat Amerikaanse dienstverleners (en hun buitenlandse dochters) te dwingen gegevens te verstrekken die zij "in bezit, beheer of bewaring" hebben — ongeacht waar de gegevens fysiek zijn opgeslagen
2. Schept een kader voor "uitvoerende overeenkomsten" waarmee buitenlandse overheden direct gegevens kunnen opvragen bij Amerikaanse providers
De eerste bepaling is degene die ertoe doet voor Europese bedrijven.
## Waarom dit telt voor Europese gegevens
Vóór de CLOUD Act konden Amerikaanse bedrijven die Europese gebruikersgegevens op Europese servers opsloegen plausibel beweren dat de data buiten het Amerikaanse rechtsbereik viel. Na de CLOUD Act werkt dat argument niet meer — als het bedrijf Amerikaans is of onder Amerikaanse zeggenschap staat, is de data bereikbaar ongeacht de fysieke locatie.
Dit geldt voor:
- Google (inclusief Google Cloud, Google Workspace, alle Google-diensten)
- Microsoft (Microsoft 365, Azure, alle Microsoft-diensten)
- Amazon (AWS, alle Amazon-diensten)
- Apple (iCloud, alle Apple-diensten)
- Meta (Facebook, WhatsApp, Instagram-metadata)
- De meeste Amerikaanse SaaS-aanbieders, ongeacht omvang
De wet creëert een echt conflict met de AVG. EU-privacywetgeving verbiedt ongeoorloofde gegevensoverdracht; de CLOUD Act kan haar afdwingen. Voor Europese bedrijven die Amerikaanse providers gebruiken, ontstaat hierdoor een blijvend juridisch risico.
## Welke beschermingen er bestaan
Er bestaan drie theoretische waarborgen, met wisselende effectiviteit in de praktijk:
**1. Standard Contractual Clauses (SCC's)** — contractuele mechanismen tussen EU- en niet-EU-entiteiten. Na Schrems II bijgewerkt om aanvullende waarborgen te eisen. Effectief voor routinematige verwerking; ontoereikend tegen directe Amerikaanse juridische dwang.
**2. Versleuteling met EU-gecontroleerde sleutels** — als data is versleuteld en de Amerikaanse provider de sleutels niet heeft, levert afgedwongen openbaarmaking enkel ciphertext op. Operationeel complex maar daadwerkelijke bescherming.
**3. Uitsluitend EU-residentieverwerking** — gebruikmaken van EU-gevestigde providers zonder Amerikaanse banden, waarmee CLOUD Act-jurisdictie volledig wordt vermeden.
Van deze drie biedt alleen de derde categorische bescherming. De eerste twee verminderen risico's maar elimineren ze niet.
## Waarom de claim "EU-data residency" niet genoeg is
Amerikaanse aanbieders (Microsoft, Google, AWS) adverteren met "EU-data residency" — de claim dat Europese klantgegevens op Europese servers blijven. Dat is technisch waar maar juridisch ontoereikend.
De CLOUD Act geldt op basis van bedrijfsnationaliteit en zeggenschap, niet serverlocatie. Een dochter Microsoft Ireland valt nog steeds onder de CLOUD Act omdat Microsoft Corporation (de Amerikaanse moeder) zeggenschap heeft over de Ierse dochter. EU-data residency op Amerikaans-gecontroleerde infrastructuur ontsnapt niet aan CLOUD Act-jurisdictie.
## Wat veranderde in 2024-2026
De CLOUD Act wordt sinds 2018 in toenemende mate toegepast. Publieke berichtgeving over specifieke zaken is beperkt (Section 2511 van Title 18 verbiedt openbaarmaking van CLOUD Act-bevelen meestal), maar transparantierapporten van grote Amerikaanse providers laten een gestaag groeiend volume aan grensoverschrijdende verzoeken zien.
De Europese reactie versnelde:
- **Schrems II** (2020) — verklaarde het Privacy Shield juist ongeldig vanwege Amerikaanse surveillancewetten waaronder de CLOUD Act
- **EU-datastrategie** — benadrukt EU-gecontroleerde cloudinfrastructuur als strategische prioriteit
- **GAIA-X-initiatief** — Europese cloudfederatie expliciet ontworpen om CLOUD Act-vrije alternatieven te bieden
- **Soevereine cloudvereisten** — Franse (Cloud de Confiance) en Duitse (BSI C5) kaders eisen specifiek bescherming tegen de CLOUD Act
## Praktische implicaties voor Europese bedrijven
Voor de meeste Europese bedrijven is de praktische CLOUD Act-respons in 2026:
1. **Classificeer datagevoeligheid.** Niet alle data heeft dezelfde CLOUD Act-blootstelling. Algemene bedrijfsgegevens kunnen op Amerikaanse providers blijven met gedocumenteerde controles. Gevoelige gegevens (juridisch, medisch, persoonsgegevens van risicogroepen) horen op EU-gecontroleerde providers.
2. **Gebruik EU-gecontroleerde providers voor gevoelige workloads.** [Hetzner](/nl/alternatieven/hetzner-vs-aws/), [Scaleway](/nl/alternatieven/scaleway-vs-google-cloud/), [OVHcloud](/nl/alternatieven/ovhcloud-vs-microsoft-azure/), [Infomaniak](/nl/alternatieven/infomaniak-vs-digitalocean/) zijn EU-gevestigd en hebben geen Amerikaanse zeggenschap.
3. **Voor publieke sector en gereguleerde sectoren** is soevereine cloud (Open Telekom Cloud, T-Systems Sovereign Cloud, Frans Cloud de Confiance) steeds vaker vereist.
De CLOUD Act verdwijnt niet. Het juridisch kader eromheen blijft evolueren, maar het onderliggende jurisdictievraagstuk is structureel — opgelost door providers te kiezen, niet door providers te configureren.
Was dit nuttig?
Bedankt voor je feedback!