Microsoft opent Europese soevereiniteitscentra in Amsterdam, Brussel en München. Amazon lanceert een 'Europese soevereine cloud' vanuit Duitsland. Google kondigt nieuwe soevereiniteitsfuncties aan voor zijn Europese cloudklanten.
Klinkt goed. Maar een expert heeft het al benoemd voor wat het is: soevereiniteit wassen.
Big Tech begrijpt de Europese zorgen over gegevens - en ze spelen daar slim op in. Servers in Frankfurt, Amsterdam, Ierland. Europese vlaggen op de marketingpagina.
Wat is dan het probleem? Het maakt niet alleen uit waar de server staat. Wat ook uitmaakt is waar het moederbedrijf is gevestigd.
Microsoft, Google en Amazon zijn Amerikaanse bedrijven. Ze vallen onder de CLOUD-wet - een Amerikaanse wet die hen dwingt gegevens te overhandigen aan Amerikaanse autoriteiten, ongeacht waar die gegevens fysiek zijn opgeslagen. Een Amerikaanse rechtbank kan ze dwingen om je bestanden af te staan zonder dat je daarvan op de hoogte bent, en de Europese wet hoeft dit niet per se te voorkomen.
GDPR is nog steeds van toepassing op Amerikaanse providers die Europese klanten bedienen. Het regelt echter vooral hoe bedrijven persoonlijke gegevens binnen de EU verwerken. Het voorkomt niet automatisch dat buitenlandse gerechtelijke instanties toegang vragen op grond van hun eigen nationale wetgeving.
Veel organisaties en gebruikers gaan ervan uit dat het opslaan van gegevens in Europa volledige wettelijke bescherming garandeert. In de praktijk kan de situatie complexer zijn.
De hamvraag is eenvoudig: waar is het hoofdkantoor van het moederbedrijf gevestigd? Vergeet de locatie van de servers, waar het om gaat is waar het bedrijf zelf wettelijk is gevestigd.
Een bedrijf dat in Europa is opgericht, in Europese handen is en voornamelijk onder Europese jurisdictie opereert, is structureel anders dan een Amerikaanse provider met louter Europese datacenters. De eerste heeft structureel minder te maken met de CLOUD Act. De laatste wel, hoe “Europees” de branding er ook uitziet.
Andere indicatoren zijn juridische transparantie, open source technologie en geen advertentiemodel dat afhankelijk is van het te gelde maken van gebruikersgegevens.
Soevereiniteit wordt uiteindelijk bepaald door de juridische structuur, niet door marketingbeloften.
We schreven over Europese alternatieven hier.
Dit is niet langer een theoretisch risico. In de afgelopen jaren zijn verschillende wettelijke kaders voor gegevensoverdracht tussen de EU en de VS aangevochten of zelfs ongeldig verklaard. Tegelijkertijd hebben Amerikaanse autoriteiten ruime bevoegdheden om gegevens van Amerikaanse techbedrijven op te vragen, zelfs als die gegevens fysiek in Europa zijn opgeslagen.
Voor bedrijven leidt dit tot onzekerheid over naleving en aansprakelijkheid. Voor individuen betekent het minder controle over wie uiteindelijk toegang krijgt tot hun informatie.
Er is geen reden tot paniek. Maar er is een reden om een bewuste keuze te maken over waar je gegevens worden bewaard en onder welk rechtssysteem ze uiteindelijk vallen.
Als het doel is om de blootstelling aan claims op grond van buitenlandse jurisdicties te minimaliseren, speelt de juridische structuur een centrale rol.
In de praktijk gaan sterkere vormen van digitale soevereiniteit vaak gepaard met in Europa gevestigde providers, transparante technologie, robuuste versleutelingsmodellen en zinvolle gebruikerscontrole over toegang en sleutels.
Want uiteindelijk wordt soevereiniteit minder bepaald door waar servers staan en meer door wie de wettelijke autoriteit heeft.
