The CLOUD Act: en nu?
Geen categorieDe CLOUD Act
De CLOUD Act (Clarifying Lawful Overseas Use of Data Act uit 2018) verplicht Amerikaanse technologiebedrijven om data te verstrekken aan Amerikaanse autoriteiten, ongeacht waar die data fysiek is opgeslagen. Voor Europese ondernemingen betekent dit dat gegevens die zijn ondergebracht bij Amerikaanse cloudproviders potentieel onder Amerikaans recht vallen — zelfs als de servers in Europa staan. Een houdgreep op gevoelige data en het lamleggen van vrijwel onze hele economie is niet langer ondenkbaar.
Dat wringt met de uitgangspunten van de AVG (GDPR), die juist vereist dat persoonsgegevens en bedrijfsgevoelige informatie adequaat worden beschermd tegen ongeautoriseerde toegang. Europese toezichthouders benadrukken daarom steeds vaker dat organisaties niet alleen moeten kijken naar compliance op papier, maar ook naar feitelijke controle over data. De gewijzigde geopolitieke verhoudingen hebben het risico op een houdgreep van de VS en op het verlies van data en diensten verhoogd. Duidelijk is dat Big Tech buigt voor “Big Daddy”.
Oplossing vanuit de politiek of meer praktisch?
De politiek lijkt eindelijk te zijn wakker geschud. Hopelijk gaat het nieuwe kabinet hiermee voortvarend ” aan de slag”. De ervaring leert dat juridische oplossingen voor deze mogelijke rampscenario’s op Europees en nationaal niveau op korte termijn niet haalbaar zijn.
Wellicht dat Nederlandse organisaties hun data sneller en op een meer praktische wijze kunnen beveiligen en de controle ervan terugbrengt naar Europa.
Twee veelgebruikte strategieën om die controle te versterken zijn:
1. BYOK (Bring Your Own Key) encryptie
Bij BYOK beheert de organisatie zélf de encryptiesleutels, buiten de cloudprovider om. Zelfs als data juridisch wordt opgevraagd, blijft deze zonder de sleutel onleesbaar. Dit verkleint het risico op ongewenste toegang en versterkt de positie van Europese bedrijven bij juridische conflicten over datatoegang.
2. On-premise of Europese opslag
Door (kritieke) data on-premise (op locatie) of bij strikt Europese aanbieders op te slaan, wordt de afhankelijkheid van extraterritoriale wetgeving verminderd. Vooral voor gevoelige data — zoals strategische bedrijfsinformatie, IP of persoonsgegevens — is dit vaak de meest robuuste optie.
Conclusie
De CLOUD Act maakt duidelijk dat databescherming een governance- en risicovraagstuk is, niet slechts een IT-keuze. Europese bedrijven en (zorg)instellingen die serieus werk willen maken van datasoevereiniteit doen er verstandig aan om BYOK-encryptie en/of on-premise opslag expliciet te overwegen. Niet uit wantrouwen, maar uit professioneel risicomanagement in een grensoverschrijdende digitale economie.