Je gebruikt Google Drive, OneDrive of Dropbox. Je hebt ergens gehoord over de CLOUD Act \u2014 en je vraagt je af of dat iets is om je druk over te maken.<\/p>\n\n\n\n
Het korte antwoord: het is een re\u00ebel juridisch mechanisme, geen theoretisch risico. Maar het is ook geen reden voor paniek. Wat het w\u00e9l vraagt, is een bewuste keuze: weet je bij welk bedrijf jouw bestanden liggen, en onder welk recht dat bedrijf opereert?<\/p>\n\n\n\n
Dit artikel legt uit wat de CLOUD Act is, voor wie hij geldt, en wat je kunt doen als je wilt dat jouw data buiten zijn bereik valt.<\/p>\n\n\n\n
De CLOUD Act \u2014 voluit de Clarifying Lawful Overseas Use of Data Act \u2014 is een Amerikaanse wet die in 2018 in werking trad. De wet geeft Amerikaanse overheidsinstanties het recht om via een gerechtelijk bevel data op te vorderen bij Amerikaanse technologiebedrijven. Dat geldt ook als die data fysiek buiten de Verenigde Staten staat.<\/p>\n\n\n\n
Concreet: een FBI-agent, een aanklager of een andere bevoegde instantie kan bij een rechter een bevel aanvragen. Als dat bevel wordt toegewezen, is het Amerikaanse bedrijf verplicht mee te werken \u2014 ongeacht of de server in Virginia staat of in Amsterdam.<\/p>\n\n\n\n
V\u00f3\u00f3r 2018 was de juridische situatie onduidelijk. Microsoft weigerde destijds mee te werken aan een overheidsverzoek voor e-mails op servers in Ierland, met het argument dat Iers recht van toepassing was. De zaak sleepte jarenlang door de rechtbanken.<\/p>\n\n\n\n
Microsoft testte die grens: ze weigerde mee te werken aan een overheidsverzoek voor e-mails die op servers in Ierland stonden, met het argument dat Iers recht van toepassing was. De zaak sleepte jarenlang door de rechtbanken.<\/p>\n\n\n\n
Het Amerikaanse Congres loste die onduidelijkheid op door de CLOUD Act in te voeren. De wet stelt expliciet: als het bedrijf Amerikaans is, kunnen de VS de data opvragen \u2014 ongeacht waar die data staat.<\/p>\n\n\n\n
De CLOUD Act geldt voor bedrijven die onder Amerikaanse jurisdictie vallen. Dat zijn:<\/p>\n\n\n\n
Is het bedrijf puur Europees, zonder Amerikaanse eigenaar of rechtspersoon? Dan valt het buiten de CLOUD Act.<\/p>\n\n\n\n
Ja \u2014 en dat is precies het punt. Serverlocatie is niet wat de CLOUD Act bepaalt. Wat telt, is wie het bedrijf runt.<\/p>\n\n\n\n
Google heeft datacenters in Nederland en Ierland. Microsoft heeft servers in Amsterdam. Dat verandert niets aan hun juridische status: beide zijn Amerikaanse bedrijven, en beide vallen volledig onder de CLOUD Act. Een rechterlijk bevel vanuit Washington geldt \u2014 ook als jouw bestanden op een server in Amsterdam liggen.<\/p>\n\n\n\n
Een bedrijf is \u201cAmerikaans\u201d in deze context als het is opgericht naar Amerikaans recht of als een Amerikaans moederbedrijf er zeggenschap over heeft. Een beursnotering in de VS, een holding in Delaware, een meerderheidsbelang van een Amerikaans concern, al deze zaken zorgen ervoor dat een bedrijf binnen het bereik van de CLOUD Act valt.<\/p>\n\n\n\n
In principe wel. Als een Europese entiteit een dochteronderneming is van een Amerikaans bedrijf, en het Amerikaanse moederbedrijf technisch in staat is de data te leveren, dan is de CLOUD Act van toepassing. De hoofdregel is eenvoudig: heeft het bedrijf een Amerikaans moederbedrijf of is het zelf Amerikaans, dan valt het onder de CLOUD Act \u2014 ongeacht of de Europese tak apart is geregistreerd.<\/p>\n\n\n\n
| Aanbieder<\/th> | Moedermaatschappij<\/th> | Opgericht<\/th> | Onder de CLOUD-wet?<\/th><\/tr><\/thead> | ||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Google Drive<\/td> | Alphabet Inc.<\/td> | US<\/td> | Ja<\/strong><\/td><\/tr>| Microsoft OneDrive<\/td> | Microsoft Corp.<\/td> | US<\/td> | Ja<\/strong><\/td><\/tr> | Dropbox<\/td> | Dropbox Inc.<\/td> | US<\/td> | Ja<\/strong><\/td><\/tr> | Apple iCloud<\/td> | Apple Inc.<\/td> | US<\/td> | Ja<\/strong><\/td><\/tr> | Box<\/td> | Box Inc.<\/td> | US<\/td> | Ja<\/strong><\/td><\/tr> | Amazon S3 \/ AWS<\/td> | Amazon.com Inc.<\/td> | US<\/td> | Ja<\/strong><\/td><\/tr> | Proton Drive<\/td> | Proton AG<\/td> | Zwitserland<\/td> | Nee<\/strong><\/td><\/tr> | Internxt<\/td> | Internxt Cloud S.L.<\/td> | Spanje<\/td> | Nee<\/strong><\/td><\/tr> | The Good Cloud<\/td> | Nederlands bedrijf<\/td> | Nederland<\/td> | Nee<\/strong><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n | Dat is de kern van de vraag. Niet: staat de server in Europa? Maar: is het bedrijf Amerikaans?<\/p>\n\n\n\n Beschermt een Europees datacenter je?<\/h2>\n\n\n\nNee - niet als het bedrijf zelf Amerikaans is.<\/p>\n\n\n\n Dit is de meest voorkomende misvatting. Dit is het misverstand dat het vaakst voorkomt. Providers als Google en Microsoft communiceren nadrukkelijk over hun Europese datacenters, over GDPR-compliance, over \"data stored in the EU\". Dat zijn re\u00eble garanties over datalocatie \u2014 maar ze veranderen niets aan de juridische blootstelling via de CLOUD Act.<\/p>\n\n\n\n Waarom \u201cservers in Europa\u201d niet genoeg is<\/h3>\n\n\n\nHet rechterlijk bevel richt zich niet op de server. Het richt zich op het bedrijf. Neem Google als voorbeeld: Google Amsterdam is een onderdeel van Alphabet Inc., een Amerikaans bedrijf geregistreerd in Delaware. Als de VS een bevel uitvaardigt aan Alphabet, is Alphabet verplicht mee te werken \u2014 inclusief data op servers buiten de VS.<\/p>\n\n\n\n \u201cGDPR-compliant\u201d en \u201cservers in Europa\u201d: wat die beloften w\u00e9l en niet betekenen<\/h3>\n\n\n\nVeel cloudproviders communiceren nadrukkelijk over GDPR-compliance en servers in Europa. Die beloftes zijn op zichzelf niet onjuist: ze gaan over hoe data wordt verwerkt en opgeslagen volgens de AVG. Maar ze zeggen niets over de CLOUD Act \u2014 en dat onderscheid missen veel gebruikers.<\/p>\n\n\n\n De CLOUD Act valt buiten het GDPR-kader. Het is Amerikaanse wetgeving over wie toegang heeft tot je gegevens, geen Europese wetgeving over hoe die gegevens worden opgeslagen. Beide wetten bestaan naast elkaar, maar ze hebben betrekking op verschillende delen van de vraag.<\/p>\n\n\n\n |