Je data staat in Amsterdam. De servers draaien bij een Europese provider. Klinkt veilig. Maar als die provider ook maar een beetje Amerikaans is — en dat zijn er veel — dan geldt er een wet die jou als Europese organisatie misschien kwetsbaar maakt zonder dat je het weet. De CLOUD Act. En nee, die is niet verdwenen.
In dit artikel leggen we uit wat de CLOUD Act precies inhoudt, wat er de afgelopen jaren veranderd is, waarom de wet ook vandaag nog relevant is voor Nederlandse organisaties, en wat je er concreet aan kunt doen.
Wat is de CLOUD Act ook alweer?
De Clarifying Lawful Overseas Use of Data Act — beter bekend als de CLOUD Act — werd in 2018 in de VS ingevoerd. De wet verplicht Amerikaanse technologiebedrijven om op verzoek van de Amerikaanse overheid data te overhandigen, ook als die data zich fysiek buiten de VS bevindt.
Dat klinkt ver van je bed, maar de praktische implicatie is groot: als jouw organisatie gebruikmaakt van diensten van Microsoft, Amazon, Google, Salesforce, Cloudflare of een van de honderden andere Amerikaanse cloudaanbieders, dan vallen jouw gegevens in beginsel onder de reikwijdte van deze wet.
De CLOUD Act geeft Amerikaanse opsporingsdiensten — zoals de FBI of DOJ — de bevoegdheid om een bevel uit te vaardigen waarmee zij toegang kunnen eisen tot die data. Zonder tussenkomst van een Europese rechter. Zonder dat jij daar van op de hoogte hoeft te worden gesteld.
Wat is er veranderd sinds 2018?
De afgelopen jaren is er op juridisch en politiek vlak van alles gebeurd. Maar de kern van de wet staat nog steeds overeind.
CLOUD Act Agreements: bilaterale verdragen
De VS heeft inmiddels met een aantal landen zogenoemde CLOUD Act Agreements gesloten — bilaterale verdragen die de samenwerking bij data-uitwisseling formaliseren. Het VK heeft als eerste zo’n verdrag getekend. Met de EU is er nog geen akkoord.
Wat betekent dat? Simpel gezegd: voor Europese organisaties verandert er door deze verdragen voorlopig weinig. De bescherming van Europese burgerrechten bij data-opvragingen door de VS blijft juridisch onzeker terrein.
EU Data Act en Digital Sovereignty
De EU heeft de afgelopen jaren flink geïnvesteerd in digitale soevereiniteit. De Data Act, de AI Act en de herziene NIS2-richtlijn zijn voorbeelden van Europese wetgeving die meer grip wil geven op data en digitale infrastructuur. Maar geen van deze wetten heft de CLOUD Act op of neutraliseert de extraterritoriale werking ervan.
Schrems II en het Privacy Shield
Het Europees Hof van Justitie vernietigde in 2020 het Privacy Shield — het akkoord dat gegevensoverdracht naar de VS legitimeerde. Het nieuwe Data Privacy Framework (2023) biedt meer waarborgen, maar critici — waaronder de Europese privacytoezichthouder EDPS — blijven vraagtekens zetten bij de effectiviteit ervan in het licht van de CLOUD Act.
Kort samengevatEr is meer wetgeving, meer bewustzijn en meer politieke druk. Maar de CLOUD Act staat er nog steeds, en Amerikaanse cloudbedrijven blijven er in beginsel aan gebonden — ook voor data die in Europese datacenters staat.
Waarom dit voor jóu als Nederlandse organisatie relevant is
De CLOUD Act is geen abstract juridisch probleem voor multinationals. Het raakt organisaties van elke omvang die:
- persoonsgegevens verwerken (en dat doet vrijwel iedere organisatie)
- werken met cloudopslag, e-mail of SaaS-software van Amerikaanse aanbieders
- actief zijn in sectoren met verhoogde compliance-eisen: zorg, overheid, financiën, juridische dienstverlening
- klantgegevens beheren die zij contractueel of wettelijk moeten beschermen
Stel dat de FBI een bevel uitvaardigt aan Microsoft voor maildata die opgeslagen is in het datacenter in Amsterdam. Microsoft is als Amerikaans bedrijf gehouden dat bevel op te volgen — tenzij zij succesvol bezwaar maakt, wat zelden gebeurt. Jij, als klant, wordt daar mogelijk niet eens van op de hoogte gesteld.
Dat is geen hypothetisch scenario. Het NCSC publiceerde eerder al een analyse van hoe de CLOUD Act werkt bij dataopslag in Europa. De conclusie: de risico’s zijn reëel en de bescherming vanuit de CLOUD Act zelf is beperkt.
Welke diensten lopen risico?
Niet alleen infrastructuur (IaaS) valt hieronder. Ook platform- en softwaresoftware (PaaS/SaaS) van Amerikaanse partijen zijn in scope:
- E-mail: Microsoft Exchange Online, Google Workspace, Outlook.com
- Bestandsopslag: OneDrive, Google Drive, Dropbox, Box, AWS S3
- Communicatie: Microsoft Teams, Slack, Zoom
- CRM en ERP: Salesforce, HubSpot, SAP (US-entiteiten)
- Back-up en archivering via Amerikaanse clouddiensten
- Hosting en CDN: AWS, Azure, Google Cloud, Cloudflare
Met andere woorden: als jouw organisatie vandaag haar IT-stack eens goed doorloopt, is de kans groot dat een aanzienlijk deel van jullie data onder de potentiële reikwijdte van de CLOUD Act valt.
Wat kun je er concreet aan doen?
De oplossing is niet per se om alles op stel en sprong te migreren. Maar het begint wel met bewustzijn en een gerichte strategie.
1. Breng je dataverwerkingen in kaart
Welke data staat waar? Welke cloudleveranciers gebruik je, en zijn dat Amerikaanse bedrijven of Europese alternatieven? Een dataregister — toch al verplicht onder de AVG — is hier het startpunt.
2. Beoordeel het risico per categorie
Niet alle data is even gevoelig. Persoonsgegevens, medische data, juridische correspondentie en financiële gegevens verdienen voorrang. Maak bewuste keuzes over waar je welke data plaatst.
3. Kies voor Europese alternatieven waar het kan
Er zijn steeds meer volwaardige Europese alternatieven voor populaire Amerikaanse diensten. Denk aan Nextcloud als vervanging voor Google Drive en OneDrive, Postfix/Dovecot of eigen mailoplossingen als alternatief voor Exchange Online, of private cloud-infrastructuur in Nederland als alternatief voor AWS of Azure.
4. Let op de juridische entiteit van je leverancier
Een bedrijf kan een Europese naam hebben maar toch een Amerikaanse moedermaatschappij hebben. Controleer altijd de eigendomsstructuur. Alleen een volledig Europees bedrijf zonder Amerikaanse entiteiten valt buiten de reikwijdte van de CLOUD Act.
5. Contractuele bescherming is onvoldoende
Veel leveranciers bieden contractuele clausules aan die ‘maximale bescherming’ beloven. Dat klinkt geruststellend, maar contractuele afspraken kunnen een wettelijke verplichting niet opheffen. Als de Amerikaanse overheid een bevel uitvaardigt, gaat dat voor boven je verwerkersovereenkomst.
Wat Virtio hierin anders doetOnze volledige infrastructuur draait in Nederlandse en Europese datacenters, beheerd door een team zonder Amerikaanse entiteiten of eigendomsstructuren. Dat betekent: geen CLOUD Act-exposure voor data die bij ons wordt gehost. Dat geldt voor managed hosting, private cloud, e-mailoplossingen en Nextcloud-implementaties.
De CLOUD Act in 2025: wat je moet onthouden
Het debat over digitale soevereiniteit is de afgelopen jaren volwassener geworden. Maar de praktische realiteit voor de meeste Nederlandse organisaties is dat zij nog steeds afhankelijk zijn van Amerikaanse cloudgiganten, en daarmee blootgesteld zijn aan een wet die buiten Europese jurisdictie valt.
De belangrijkste lessen:
- Locatie van data is niet genoeg. Een server in Amsterdam die beheerd wordt door een Amerikaans bedrijf biedt geen CLOUD Act-bescherming.
- Europese wetgeving neutraliseert de CLOUD Act niet. De AVG, NIS2 en de Data Act versterken Europese rechten, maar heffen de extraterritoriale werking van de CLOUD Act niet op.
- Contractuele clausules zijn geen garantie. Een verwerkersovereenkomst beschermt je niet tegen een wettelijk bevel aan je leverancier.
- Europese alternatieven bestaan en zijn volwassen. Voor de meeste use cases is er een Europees alternatief beschikbaar dat volledig buiten de CLOUD Act-scope valt.
Benieuwd hoe dit voor jouw organisatie zit?
We helpen organisaties regelmatig bij het in kaart brengen van hun cloudlandschap en het maken van weloverwogen keuzes over datasoevereiniteit. Geen salesgesprek, maar een inhoudelijke sparringsessie.
Neem contact op — onze specialisten denken graag met je mee.
