Je gebruikt Google Drive, OneDrive of Dropbox. Je hebt ergens gehoord over de CLOUD Act — en je vraagt je af of dat iets is om je druk over te maken.
Het korte antwoord: het is een reëel juridisch mechanisme, geen theoretisch risico. Maar het is ook geen reden voor paniek. Wat het wél vraagt, is een bewuste keuze: weet je bij welk bedrijf jouw bestanden liggen, en onder welk recht dat bedrijf opereert?
Dit artikel legt uit wat de CLOUD Act is, voor wie hij geldt, en wat je kunt doen als je wilt dat jouw data buiten zijn bereik valt.
De CLOUD Act — voluit de Clarifying Lawful Overseas Use of Data Act — is een Amerikaanse wet die in 2018 in werking trad. De wet geeft Amerikaanse overheidsinstanties het recht om via een gerechtelijk bevel data op te vorderen bij Amerikaanse technologiebedrijven. Dat geldt ook als die data fysiek buiten de Verenigde Staten staat.
Concreet: een FBI-agent, een aanklager of een andere bevoegde instantie kan bij een rechter een bevel aanvragen. Als dat bevel wordt toegewezen, is het Amerikaanse bedrijf verplicht mee te werken — ongeacht of de server in Virginia staat of in Amsterdam.
Vóór 2018 was de juridische situatie onduidelijk. Microsoft weigerde destijds mee te werken aan een overheidsverzoek voor e-mails op servers in Ierland, met het argument dat Iers recht van toepassing was. De zaak sleepte jarenlang door de rechtbanken.
Microsoft testte die grens: ze weigerde mee te werken aan een overheidsverzoek voor e-mails die op servers in Ierland stonden, met het argument dat Iers recht van toepassing was. De zaak sleepte jarenlang door de rechtbanken.
Het Amerikaanse Congres loste die onduidelijkheid op door de CLOUD Act in te voeren. De wet stelt expliciet: als het bedrijf Amerikaans is, kunnen de VS de data opvragen — ongeacht waar die data staat.
De CLOUD Act geldt voor bedrijven die onder Amerikaanse jurisdictie vallen. Dat zijn:
Is het bedrijf puur Europees, zonder Amerikaanse eigenaar of rechtspersoon? Dan valt het buiten de CLOUD Act.
Ja — en dat is precies het punt. Serverlocatie is niet wat de CLOUD Act bepaalt. Wat telt, is wie het bedrijf runt.
Google heeft datacenters in Nederland en Ierland. Microsoft heeft servers in Amsterdam. Dat verandert niets aan hun juridische status: beide zijn Amerikaanse bedrijven, en beide vallen volledig onder de CLOUD Act. Een rechterlijk bevel vanuit Washington geldt — ook als jouw bestanden op een server in Amsterdam liggen.
Een bedrijf is “Amerikaans” in deze context als het is opgericht naar Amerikaans recht of als een Amerikaans moederbedrijf er zeggenschap over heeft. Een beursnotering in de VS, een holding in Delaware, een meerderheidsbelang van een Amerikaans concern, al deze zaken zorgen ervoor dat een bedrijf binnen het bereik van de CLOUD Act valt.
In principe wel. Als een Europese entiteit een dochteronderneming is van een Amerikaans bedrijf, en het Amerikaanse moederbedrijf technisch in staat is de data te leveren, dan is de CLOUD Act van toepassing. De hoofdregel is eenvoudig: heeft het bedrijf een Amerikaans moederbedrijf of is het zelf Amerikaans, dan valt het onder de CLOUD Act — ongeacht of de Europese tak apart is geregistreerd.
| Aanbieder | Moedermaatschappij | Opgericht | Onder de CLOUD-wet? |
|---|---|---|---|
| Google Drive | Alphabet Inc. | US | Ja |
| Microsoft OneDrive | Microsoft Corp. | US | Ja |
| Dropbox | Dropbox Inc. | US | Ja |
| Apple iCloud | Apple Inc. | US | Ja |
| Box | Box Inc. | US | Ja |
| Amazon S3 / AWS | Amazon.com Inc. | US | Ja |
| Proton Drive | Proton AG | Zwitserland | Nee |
| Internxt | Internxt Cloud S.L. | Spanje | Nee |
| The Good Cloud | Nederlands bedrijf | Nederland | Nee |
Dat is de kern van de vraag. Niet: staat de server in Europa? Maar: is het bedrijf Amerikaans?
Nee - niet als het bedrijf zelf Amerikaans is.
Dit is de meest voorkomende misvatting. Dit is het misverstand dat het vaakst voorkomt. Providers als Google en Microsoft communiceren nadrukkelijk over hun Europese datacenters, over GDPR-compliance, over "data stored in the EU". Dat zijn reële garanties over datalocatie — maar ze veranderen niets aan de juridische blootstelling via de CLOUD Act.
Het rechterlijk bevel richt zich niet op de server. Het richt zich op het bedrijf. Neem Google als voorbeeld: Google Amsterdam is een onderdeel van Alphabet Inc., een Amerikaans bedrijf geregistreerd in Delaware. Als de VS een bevel uitvaardigt aan Alphabet, is Alphabet verplicht mee te werken — inclusief data op servers buiten de VS.
Veel cloudproviders communiceren nadrukkelijk over GDPR-compliance en servers in Europa. Die beloftes zijn op zichzelf niet onjuist: ze gaan over hoe data wordt verwerkt en opgeslagen volgens de AVG. Maar ze zeggen niets over de CLOUD Act — en dat onderscheid missen veel gebruikers.
De CLOUD Act valt buiten het GDPR-kader. Het is Amerikaanse wetgeving over wie toegang heeft tot je gegevens, geen Europese wetgeving over hoe die gegevens worden opgeslagen. Beide wetten bestaan naast elkaar, maar ze hebben betrekking op verschillende delen van de vraag.
Steeds meer aanbieders gebruiken digitale soevereiniteit vooral als marketingterm. Meer hierover: Sovereignty washing: how Big Tech pretends to go European
Het simpelste antwoord: kies een provider waarvan het moederbedrijf geen Amerikaans bedrijf is. Denk aan Europese aanbieders als Proton Drive (Zwitserland), Internxt (Spanje) of The Good Cloud (Nederland). Wat ze gemeen hebben: geen Amerikaans moederbedrijf, geen VS-rechtspersoon in de eigendomsstructuur.
Een puur Europees bedrijf — met Europees eigendom, een Europese rechtspersoon, zonder Amerikaanse aandeelhouder die de dienst uitmaakt — valt simpelweg niet onder de CLOUD Act. Er is geen juridische basis voor een Amerikaans rechtsbevel. Er is geen moederbedrijf in de VS dat kan worden aangesproken.
Dit onderscheid is de kern van de zaak:
Neem bijvoorbeeld The Good Cloud: dat is een Nederlands bedrijf. Het draait Nextcloud op servers die The Good Cloud zelf beheert in Nederland. Er is geen Amerikaans moederbedrijf, geen Amerikaanse holding, geen VS-rechtspersoon in de eigendomsstructuur. Een VS-rechtsbevel heeft geen ingang.
Meer over waarom steeds meer mensen overstappen naar Europese alternatieven: Overstappen naar Europese technologie: waarom steeds meer mensen overstappen
Het betekent: er is geen bedrijf in de VS dat jouw provider kan worden opgedragen mee te werken. De juridische keten loopt niet via de VS. Dat is geen contractuele afspraak, geen opt-out, geen technische oplossing — het is een structureel gegeven op basis van eigendom en rechtspersoon.
De AVG verbiedt het doorgeven van persoonsgegevens buiten de EU zonder passende waarborgen. De CLOUD Act verplicht Amerikaanse bedrijven mee te werken aan overheidsverzoeken — ook als die data in Europa staat.
Voor een Amerikaans bedrijf met Europese klanten levert dit een juridische spagaat op. Aan de ene kant: de CLOUD Act verplicht medewerking als de VS-overheid data opvraagt. Aan de andere kant: de AVG verbiedt het doorgeven van persoonsgegevens buiten de EU zonder de juiste waarborgen. Het bedrijf kan niet tegelijkertijd aan beide wetten voldoen. Een provider kan proberen weerstand te bieden of juridische procedures te starten — maar een garantie is dat niet.
De Europese privacytoezichthouders (EDPB en EDPS) hebben hier expliciet over geoordeeld: de combinatie van CLOUD Act en AVG levert een structureel conflict op voor organisaties die persoonsgegevens verwerken via Amerikaanse providers.
In het kort:
Er zijn drie routes, afhankelijk van je situatie.
De meest directe oplossing: gebruik een provider die niet onder de CLOUD Act valt omdat het geen Amerikaans bedrijf is. Controleer bij het overstappen:
Voor wie samenwerking tools nodig heeft — gedeelde mappen, documenten bewerken, teams — zijn er Europese alternatieven voor Google Drive of OneDrive. The Good Cloud biedt hosted Nextcloud vanuit Nederland. Voor pure opslag zonder samenwerking zijn Proton Drive of Internxt goede opties.
Bekijk een overzicht van cloud opslag alternatieven: Europese Cloud Opslag Alternatieven.
Als overstappen geen optie is — omdat je organisatie afhankelijk is van Microsoft 365 of een andere Amerikaanse suite — biedt BYOK (Bring Your Own Key) een technische beschermingslaag. Je beheert zelf de versleutelingssleutels, zodat de provider de data niet kan lezen en dus ook niet kan overdragen.
Dit is een enterprise-oplossing die technische inrichting vergt. Ze beschermt de inhoud van bestanden — maar niet de metadata of toegangspatronen.
Als je uitsluitend eigen bestanden opslaat zonder persoonsgegevens van anderen, is de CLOUD Act minder direct relevant. De kans dat Amerikaanse autoriteiten interesse hebben in jouw persoonlijke foto's of notities is in de praktijk minimaal.
Zodra je echter klantgegevens, medische informatie, juridische documenten of bedrijfsgevoelige data opslaat — zeker als je die verwerkt namens anderen — wordt de keuze voor een provider die buiten de CLOUD Act valt een concrete overweging.
Ja. Microsoft Corporation is een Amerikaans bedrijf, gevestigd in de staat Washington. OneDrive, SharePoint en Microsoft 365 vallen volledig onder de CLOUD Act, zelfs als je gegevens zijn opgeslagen in een Europees datacenter van Microsoft.
In theorie ja, via een rechtsbevel op basis van de CLOUD Act. In de praktijk is de drempel hoog: er is een gerechtelijk bevel nodig, en Google kan zich in bepaalde gevallen verzetten. Maar de juridische mogelijkheid bestaat — en de keuze voor een provider die buiten deze wet valt, sluit dat structureel uit.
De AVG is Europese wetgeving die regelt hoe persoonsgegevens verwerkt en beschermd moeten worden. De CLOUD Act is Amerikaanse wetgeving die Amerikaanse bedrijven verplicht mee te werken aan overheidsverzoeken voor data-inzage. De twee wetten gelden naast elkaar en creëren voor Amerikaanse bedrijven die in Europa actief zijn een juridisch conflict.
Niet automatisch. Serverlocatie bepaalt waar data fysiek staat — niet wie er juridisch toegang toe kan eisen. Als je leverancier een Amerikaans bedrijf is of een dochter van een Amerikaans bedrijf, geldt de CLOUD Act, ongeacht de locatie van de server.
De CLOUD Act maakt geen onderscheid naar type gebruiker. Het gaat om het bedrijf dat de data beheert, niet om wie de data heeft opgeslagen. Voor zzp'ers die klantgegevens verwerken, is de combinatie van CLOUD Act en AVG-verplichtingen een extra reden om bewust te kiezen voor een Europese provider.
Nee — als het bedrijf puur Europees eigendom heeft, geen Amerikaans moederbedrijf heeft en niet onder Amerikaans recht valt, is de CLOUD Act niet van toepassing. Er is dan geen juridisch aangrijpingspunt voor een Amerikaans rechtsbevel.
Nu je weet hoe de CLOUD Act werkt, is de logische volgende stap eenvoudig: kies een provider die er structureel buiten valt.
The Good Cloud biedt managed Nextcloud vanuit Nederland — Europees eigendom, geen Amerikaans moederbedrijf, en dezelfde functionaliteit als Google Drive of OneDrive.
