De Amerikaanse CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) is kort, maar reikt ver. Hij verduidelijkte dat Amerikaanse aanbieders gegevens in hun « bezit, beheer of controle » moeten overhandigen na een rechtmatig Amerikaans bevel — ongeacht waar ter wereld de gegevens zijn opgeslagen. Voor een Belgische organisatie die een door een Amerikaans bedrijf beheerde cloud gebruikt, betekent dit dat gegevens in een datacenter in Brussel of Frankfurt nog steeds onder een Amerikaans verzoek kunnen vallen. Dit is de kern van het Europese debat over datasoevereiniteit.
Kort — het conflict in 5 punten
- De CLOUD Act reikt tot gegevens bij Amerikaanse aanbieders overal, ook in de EU.
- Hij geldt op basis van de nationaliteit van de aanbieder, niet de locatie van de gegevens.
- AVG art. 48 stelt dat een bevel van een buitenlandse autoriteit op zich geen geldige grond is om EU-gegevens door te geven.
- Een Amerikaanse aanbieder kan klem komen te zitten tussen twee wetten — de echte bron van juridisch risico.
- EU-datalocatie is noodzakelijk maar niet voldoende voor soevereiniteit; de juridische blootstelling van de operator telt.
Wat de CLOUD Act feitelijk doet
Hij wijzigde de Stored Communications Act op drie manieren. Ten eerste extraterritoriaal bereik: Amerikaanse autoriteiten kunnen in de VS gevestigde of gecontroleerde aanbieders dwingen tot openbaarmaking, ongeacht waar de gegevens staan. Ten tweede een comity-mechanisme: een aanbieder kan een bevel laten vernietigen of wijzigen wanneer het in strijd is met het recht van een kwalificerende buitenlandse overheid. Ten derde uitvoerende overeenkomsten: een kader voor snelle data-verzoeken van overheid tot overheid. De kernboodschap voor de koper is het eerste punt — gegevens « in de EU » opslaan bij een Amerikaanse aanbieder plaatst ze niet buiten het bereik van de VS.
Waarom het botst met de AVG
De AVG is gebouwd rond onafhankelijk rechterlijk toezicht en expliciete rechtsgronden om gegevens buiten de EU te brengen. Artikel 48 is duidelijk: een uitspraak of besluit van een autoriteit uit een derde land dat doorgifte of openbaarmaking van persoonsgegevens vereist, is alleen erkend of afdwingbaar als het berust op een internationale overeenkomst zoals een rechtshulpverdrag. Een eenzijdig Amerikaans bevel is dus op zich geen AVG-geldige grond; de aanbieder zou ook een waarborg uit artikel 46 of een uitzondering uit artikel 49 nodig hebben, die geen van beide passen bij een routinematig opsporingsverzoek. Een Amerikaanse aanbieder die de CLOUD Act naleeft, kan dus de AVG schenden, en een aanbieder die weigert, kan het Amerikaanse recht schenden. Dat dilemma — niet de postcode van de gegevens — is het echte risico.
Wat dit betekent na Schrems II
Dit komt bovenop de regels voor internationale doorgifte. Na Schrems II steunen doorgiften naar de VS op standaardcontractbepalingen (SCC) met aanvullende maatregelen, of op het adequaatheidsbesluit van het EU–US Data Privacy Framework voor gecertificeerde importeurs. Niets daarvan neutraliseert echter een rechtstreeks CLOUD Act-bevel: overheidstoegang is precies de zorg die de analyse van aanvullende maatregelen moet adresseren. Voor gevoelige of gereguleerde gegevens besluiten veel Belgische organisaties dat contractuele mechanismen de soevereiniteitsblootstelling verminderen maar niet wegnemen.
Wat « datasoevereiniteit » echt vereist
Soevereiniteit is een spectrum, geen vinkje. Drie lagen tellen :
| Laag | Vraag die ze beantwoordt |
|---|---|
| Dataresidentie | Waar staan de gegevens fysiek? (Noodzakelijk, niet voldoende.) |
| Operationele soevereiniteit | Wie kan er technisch bij, en van waar? Kan supportpersoneel buiten de EU ze zien? |
| Juridische soevereiniteit | Welke wetten kunnen de operator tot openbaarmaking dwingen? Valt de operator onder de CLOUD Act? |
EU-residentie beantwoordt alleen de eerste rij. Echte weerbaarheid tegen extraterritoriale toegang hangt af van de tweede en derde — daarom is de vraag verschoven van « waar staat het? » naar « wie controleert de sleutels, de werking en de juridische entiteit? ».
Praktische opties
U hoeft de hyperscalers niet op te geven om dit te beheersen. De realistische gereedschapskist:
- Door de klant beheerde encryptiesleutels in een in de EU gecontroleerd KMS, zodat de aanbieder niet alleen kan ontsleutelen (beperkt de blootstelling, neemt ze niet weg).
- Soevereine of in de EU beheerde cloudaanbiedingen, inclusief door een partner beheerde « vertrouwde » modellen waarbij een Europese entiteit de werking controleert.
- Europese aanbieders die volledig buiten de Amerikaanse jurisdictie vallen voor de meest gevoelige workloads.
- Dataclassificatie zodat alleen echt gevoelige of gereguleerde gegevens de strengste controles activeren — de meeste workloads niet.
We bespreken de keuzes, kosten en afwegingen in soevereine cloud in België. Omdat er meestal persoonsgegevens in het spel zijn, lees dit samen met de AVG-verplichtingen en uw transfer-impactbeoordelingen.
Algemene informatie, geen juridisch advies. ICTLAB helpt Belgische organisaties hun gegevens te classificeren en cloud te ontwerpen die past bij hun soevereiniteits- en compliancebehoeften — bekijk onze cloud-diensten of neem contact op met ons team.