Zitten we in een spagaat tussen Amerikaanse en Europese wetgeving? Lariekoek, zegt de een. In soevereine staten geldt alleen eigen recht. Een ander wijst op de realiteit: voor Amerikaanse bedrijven kan een Amerikaans rechterlijk bevel zwaarder wegen dan Europese wetgeving.
De discussie over digitale soevereiniteit draait vaak om politiek en strategie. Maar wat gebeurt er juridisch als een Amerikaanse cloudprovider voor twee conflicterende wetten staat? En belangrijker: wat betekent dat voor Nederlandse organisaties die data naar de cloud van een Amerikaanse provider verplaatsen?
De kern van het probleem is simpel te beschrijven, maar complex in de uitwerking. De Amerikaanse CLOUD Act (Clarifying Lawful Overseas Use of Data Act) en de Europese GDPR staan juridisch náást elkaar. Dat stelt juridisch adviseur Victor de Pous in Newsware, zijn nieuwsbrief over digitaal recht en beleid. “Ze hebben geen formele hiërarchie, maar in de praktijk kan een Amerikaanse rechter een Amerikaanse cloudprovider dwingen iets te doen wat in de EU onder de GDPR verboden is.”
Twee wetten, geen hiërarchie
De CLOUD Act breidt de Amerikaanse Stored Communications Act uit. De wet stelt dat een Amerikaanse autoriteit via een gerechtelijk bevel toegang tot data kan eisen zodra een provider onder Amerikaanse jurisdictie valt. Dat is het geval bij een Amerikaanse moedervennootschap, of wanneer er sprake is van feitelijk beheer en controle over de data. Waar de data fysiek staat, doet er dan niet toe. De vraag verschuift van “waar staat de data?” naar “wie controleert de data?”. Een EU-Azure-regio biedt dus geen bescherming als Microsoft US technisch en juridisch toegang tot die data heeft. Providers kunnen weliswaar een beroep doen op het zogeheten comity-mechanisme om te betogen dat een verzoek in strijd is met buitenlands recht, maar dat is geen harde firewall.
De GDPR regelt wanneer persoonsgegevens de EU mogen verlaten. Artikel 48 stelt expliciet dat buitenlandse rechterlijke bevelen geen geldige grondslag zijn voor doorgifte, tenzij er een internationaal verdrag bestaat of een ander mechanisme zoals een adequaatheidsbesluit van de Europese Commissie. Ook een beroep op internationale rechtshulpverdragen (MLAT) kan doorgifte rechtvaardigen. Na de Schrems II-uitspraak is duidelijk dat standaardcontracten gecombineerd met Amerikaanse surveillance-wetgeving vaak onvoldoende bescherming bieden. Voor een Europese organisatie betekent dit: direct voldoen aan een puur Amerikaans bevel voor EU-data is in principe in strijd met de GDPR, tenzij dat bevel via een rechtshulpverdrag loopt of er een specifieke uitzondering geldt.
“Er is geen formele hiërarchie tussen beide wetten, omdat elke wet alleen geldt binnen zijn eigen rechtsorde”, legt De Pous uit. Hij beschrijft de spagaat die dit zou kunnen opleveren. “In de VS kan een Amerikaanse rechter Microsoft US dwingen mee te werken. Weigert Microsoft, dan riskeert het sancties wegens minachting van de rechtbank. In de EU is diezelfde handeling, afgifte van data op basis van alleen dat Amerikaanse bevel, verboden onder de GDPR, waardoor het mogelijk boetes en sancties opgelegd krijgt van Europese toezichthouders.”
Het Nederlandse NCSC bevestigt deze juridische spagaat. “Europese bedrijven en dataopslag in Europa zijn niet immuun voor niet-Europese wetgeving, zoals de Amerikaanse CLOUD-Act”, concludeerde het NCSC in 2022 na onderzoek door advocatenkantoor Greenberg Traurig. “Ook data en persoonsgegevens die in Europa worden verwerkt en opgeslagen, vallen soms onder Amerikaanse wetgeving en kunnen door de Amerikaanse overheid worden opgevraagd.” Of zoals De Pous het verwoordt: “Soeverein recht voorkomt geen extraterritoriale claims van andere staten; het maakt ze alleen binnen je eigen rechtsorde niet afdwingbaar.”
De OVHcloud-casus
Het geschetste scenario is geen hypothetische exercitie. In september 2025 oordeelde een Canadese rechter dat de Franse cloudprovider OVHcloud klantgegevens opgeslagen in Europa moet overhandigen aan Canadese autoriteiten. Hoewel dit formeel geen CLOUD Act-zaak betreft, illustreert het precies hetzelfde conflict of laws: extraterritoriale jurisdictie over data op basis van corporate control, ongeacht waar de servers fysiek staan. De Canadese politie (RCMP) had in april 2024 een bevel gegeven voor abonnee- en accountgegevens gekoppeld aan vier IP-adressen op OVH-servers in Frankrijk, het Verenigd Koninkrijk en Australië, als deel van een strafrechtelijk onderzoek.
Rechter Heather Perkins-McVey baseerde haar uitspraak op een brede interpretatie van “virtual presence”: omdat OVH wereldwijd opereert en diensten aanbiedt in Canada, valt het bedrijf onder Canadese jurisdictie, ongeacht waar de fysieke servers staan. Dit is bijzonder problematisch voor OVHcloud. Artikel 48 GDPR én Frans recht verbieden het afgeven van zulke gegevens tenzij er een in Europa geldig bevel is gegeven. De Franse wet zet er zelfs celstraf en een boete tot 90.000 euro per overtreding op. Maar de Canadese rechter beschouwt weigering als ‘contempt of court’, met vergelijkbare strafmogelijkheden.
OVHcloud diende een verzoek in voor rechterlijke toetsing, waarin staat dat het bedrijf “gedwongen wordt te kiezen tussen de risico’s van strafrechtelijke aansprakelijkheid in Canada en/of Frankrijk, inclusief gevangenisstraf en boetes.” De zaak is in hoger beroep. ICT-jurist Arnoud Engelfriet beschrijft de casus in zijn blog als illustratief voor de bredere zorgen rond extraterritoriale wetgeving: “De zaak doet sterk denken aan waar mensen bij de US Cloud Act bang voor zijn.”
De ironie is dat OVHcloud zichzelf profileert als beschermer van Europese data-soevereiniteit. Het bedrijf benadrukt op zijn website dat “alleen entiteiten gevestigd binnen de Europese Unie technisch kunnen interveniëren op infrastructuren die Europese klantdata hosten” en dat het “technische en organisatorische maatregelen implementeert om data te beschermen tegen inmenging van autoriteiten buiten de EU.” De uitkomst van het hoger beroep is afwachten, maar Canadese advocaten vertelden Engelfriet dat dit vanuit hun rechtsstelsel geen vreemde vraag is. “Men heeft in Canada niets te maken met Europese wetten,” schrijft Engelfriet. “Wat heel logisch is” – vanuit Canadees perspectief tenminste.
Concernrecht: een juridische buffer?
Maar is een Europese dochter wel zo machteloos als vaak wordt aangenomen? ICT-jurist Arnoud Engelfriet wijst op een belangrijk juridisch principe: “Binnen de regels voor concerns kán een moeder niet direct bevelen wat een dochterbedrijf moet doen. Aandelen geven wel zeggenschap, maar geen bestuursbevoegdheid. Je moet dus het bestuur overtuigen, en dat kan eigenlijk alleen door te zeggen dat je het bestuur eruit gooit als ze niet doen wat je zegt.”
Dat zou opvallen, vooral als in de statuten van die dochter ook nog ‘vervelende dingen’ staan die dit bemoeilijken, schrijft Engelfriet. Bovendien is er artikel 48 AVG, dat zegt dat bevelen van Amerikaanse rechtbanken inzake afgifte persoonsgegevens zonder rechtskracht zijn. Het moet via een rechtshulpverzoek. Dus een Europese rechtbank zal zo’n bevel niet erkennen. Engelfriet ergert zich aan “de vanzelfsprekendheid waarmee mensen aannemen dat bedrijven alles doen omdat een Amerikaanse wet dat zegt. En natuurlijk, bedrijven in Amerika kunnen dat maar beter doen ook. Maar waarom een bedrijf in Europa, enkel omdat men in een Amerikaans concern zit?”
Engelfriet wijst wel op mogelijke escalatiescenario’s. De VS zou economische druk kunnen uitoefenen: betalingsproviders dwingen transacties met Europese cloudbedrijven te blokkeren, dataverkeer tegenhouden, of Amerikaanse moederbedrijven uitsluiten van overheidsopdrachten. “Maar dat valt op bij de Europese politiek,” schrijft hij.
Het werkelijke risico zit volgens Engelfriet dieper: in de technische controle. Hoe kan een Europese dochter verifiëren dat er geen achterdeurtje in de infrastructuur zit waarmee het Amerikaanse moederbedrijf tóch bij de data kan? “Wie volledige toegang tot alle hardware én software heeft, kan veel geniepiger achterdeuren inbouwen,” waarschuwt hij. Concernrecht biedt dus theoretisch enige bescherming, maar technische controle blijft een zwak punt.
De praktische werkelijkheid
Toch is er een belangrijke praktische nuance: hoe vaak wordt dit juridische en technische risico ook daadwerkelijk realiteit? Want hoewel de juridische route er is, betekent dat niet dat Amerikaanse autoriteiten massaal Europese data opvragen via de CLOUD Act. Het NCSC liet in november 2022 aanvullend onderzoek doen naar de praktijk. De conclusie: het risico dat de Amerikaanse overheid toegang krijgt tot Europese persoonsgegevens op basis van de CLOUD Act is “voorstelbaar, maar in de praktijk heel klein.”
Microsoft ontving volgens het NCSC-onderzoek sinds maart 2018 twaalf verzoeken voor non-US enterprise content data. Of daar daadwerkelijk persoonsgegevens van EU-burgers bij zaten, blijft onduidelijk. In november 2021 verklaarde Microsoft dat ze “nooit toegang hebben verleend tot persoonlijke gegevens van publieke organisaties in de EU aan elke overheidsinstantie.” Amazon meldde dat ze sinds juli 2020 geen enkele enterprise- of inhoudsgegevens die buiten de VS zijn opgeslagen aan Amerikaanse wetshandhaving heeft verstrekt. IBM ontving in 2021 slechts één verzoek voor EU-clientcontent, dat werd afgewezen.
Niet alle data is even gevoelig, en niet alle organisaties lopen hetzelfde risico. Het type data bepaalt de juridische bescherming: persoonsgegevens vallen onder strikte GDPR-regels, maar de CLOUD Act geldt óók voor bedrijfsdata zoals handelsgeheimen of strategische informatie. Een organisatie zonder persoonsgegevens is dus niet automatisch veilig. Het type organisatie speelt ook een rol. Overheidsinstanties moeten voldoen aan strengere eisen voor digitale soevereiniteit en kunnen niet zomaar risico’s accepteren die private bedrijven wel mogen afwegen. Een gemeente heeft andere afwegingen dan een startup. En het type cloud maakt verschil in controle: bij public cloud van Amerikaanse hyperscalers heeft het moederbedrijf technisch en juridisch toegang. Private cloud of zogenoemde “sovereign cloud”-oplossingen bieden meer controle, maar leveren vaak minder functionaliteit en schaalbaarheid.
De Pous wijst erop dat “organisaties en bedrijven zich moeten afvragen tegen welke extraterritoriale wettelijke regimes, en daarmee landen, zij zich wel en niet willen en kunnen wapenen en wat dat precies betekent in termen van leverancierskeuze en de inzet van aanvullende beheersmaatregelen”.
Schijnsoevereiniteit of oplossing?
De Amerikaanse hyperscalers hebben de zorgen over digitale soevereiniteit niet gemist. AWS kondigde eind 2025 de lancering aan van de AWS European Sovereign Cloud, een ‘nieuwe, onafhankelijke cloud voor Europa’ met een Duitse GmbH als lokale eigenaar, uitsluitend EU-personeel, en infrastructuur volledig binnen de EU. Microsoft introduceerde vergelijkbare ‘Cloud for Sovereignty’-diensten, met EU-datacenterlocaties en belooftes om klantdata te beschermen tegen overheidseisen. Google volgde met een air-gapped oplossing. Maar lost een Europese dochterstructuur het juridische probleem op? Engelfriet’s analyse over concernrecht suggereert van niet. Een Duitse GmbH die eigendom is van Amazon US valt nog steeds onder Amerikaanse jurisdictie voor de CLOUD Act. Technische maatregelen kunnen juridische verplichtingen niet omzeilen.
De politieke scepsis in Europa groeit. In mei 2025 blokkeerde Microsoft de toegang tot de mailbox van ICC-hoofdaanklager Karim Khan, naar verluidt vanwege Amerikaanse sancties. EU-parlementslid Aura Salla reageerde: “Dit laat zien dat de EU Amerikaanse besturingssysteemaanbieders niet kan vertrouwen.” Voor Frans parlementslid Philippe Latombe is de politieke conclusie helder. Hij stelde in European Business Review: “AWS cloud kan niet soeverein zijn omdat het onderhevig is aan de Amerikaanse FISA en Cloud Act.”
Microsoft probeerde in 2016 al een soevereine oplossing: de ‘Microsoft Cloud Deutschland’ met T‑Systems als onafhankelijke datatrustee. Data bleef in Duitse datacenters en Microsoft had zonder toestemming van de trustee geen toegang. De volledig geïsoleerde opzet betekende echter minder functionaliteit en flexibiliteit dan de globale Azure‑diensten, terwijl de dienst aanzienlijk duurder was. In 2018 stopte Microsoft met het aannemen van nieuwe klanten en migreerde bestaande klanten uiteindelijk naar reguliere Azure‑datacenters in Duitsland.
Wat dit voorbeeld laat zien: technische scheiding die écht beschermt tegen juridische claims maakt het product zo geïsoleerd dat het nauwelijks nog concurrerend is. AWS en Microsoft beloven nu hetzelfde te bereiken zonder die isolatie – maar juridisch gezien blijft de vraag: kan een Amerikaanse dochter ‘nee’ zeggen tegen een Amerikaans bevel zonder dat het moederbedrijf ingrijpt?
Handelingsperspectief voor IT-beslissers
Voor organisaties die cloudbeslissingen moeten nemen, zijn er geen perfecte oplossingen, maar wel bewuste afwegingen. Risicoafweging begint bij de vraag: hoe gevoelig is je data? Hoe waarschijnlijk is een CLOUD Act-verzoek voor jouw organisatie? En wat zijn de gevolgen van een potentiële doorgifte?
Contractuele waarborgen helpen: verwerkersovereenkomsten met duidelijke afspraken, exit-clausules bij wijziging van zeggenschap, en transparantieverplichtingen voor zover de CLOUD Act dat toestaat. De Autoriteit Persoonsgegevens gaf in november 2025 nog drie aanbevelingen voor sterke verwerkersovereenkomsten, waarbij grip op de hele leveranciersketen als noodzakelijkheid werd genoemd. Technische maatregelen zoals eigen encryptie en key management, data residency en segregatie van gevoelige data kunnen risico’s beperken. Maar De Pous waarschuwt: “In termen van compliance betekent het dat bedrijven en organisaties feitelijk steeds minder goed kunnen garanderen of zeker stellen dat de informatie die zij verwerken voldoende beschermd is tegen het inzien door vreemde, een niet-Europese, mogendheden.”
Strategische overwegingen spelen ook een rol. Wanneer overweeg je Europese alternatieven? Multi-cloud strategieën kunnen risicospreiding bieden. En kosten-batenanalyses moeten niet alleen technische en financiële aspecten meewegen, maar ook juridische en reputatierisico’s.
Beide partijen hebben deels gelijk
Een recente LinkedIn-discussie laat een ongemakkelijke waarheid zien: beide partijen hebben deels gelijk. Ja, in de EU geldt Europees recht – maar dat weerhoudt de VS niet van extraterritoriale claims. En nee, organisaties zijn niet machteloos – maar de bescherming is ook niet absoluut.
Voor IT-beslissers betekent dit: er is geen juridische ‘firewall’ die Amerikaanse wetgeving buiten de deur houdt bij Amerikaanse cloudproviders. De kans dat data daadwerkelijk wordt opgevraagd is klein, maar de juridische mogelijkheid bestaat – en zoals de OVHcloud-casus laat zien, treft dit probleem zelfs Europese providers met een Canadese dochter. Concernrecht biedt theoretisch enige bescherming, maar de praktijk is weerbarstiger: technische controle en economische druk wegen zwaarder dan juridische finesses.
Met bewuste afwegingen, contractuele waarborgen en technische maatregelen kunnen risico’s worden beheerst. De vraag is niet of je Amerikaanse cloud moet mijden, maar voor welke data en onder welke voorwaarden je het verantwoord vindt.