Als MKB-organisatie maak je vast gebruik van clouddiensten voor e-mail, opslag of samenwerken. Maar wist je dat op die data twee verschillende privacywetten invloed kunnen hebben? De Amerikaanse CLOUD Act en de Europese AVG (GDPR) kunnen met elkaar botsen en gevolgen hebben voor hoe jij met je bedrijfs- en klantgegevens omgaat. In deze blog lees je waarom dit belangrijk is en wat dit betekent voor jouw bedrijf. Plus praktische tips om je risico’s te beperken!
Wat is de CLOUD Act?
De Clarifying Lawful Overseas Use of Data Act, kortweg CLOUD Act, is een Amerikaanse wet uit 2018. Het doel ervan is om Amerikaanse inlichtingsdiensten makkelijker toegang te geven tot data voor strafrechtelijk onderzoek. Uniek aan deze wet is dat hij óók geldt voor data die buiten de VS is opgeslagen, zolang die data maar wordt beheerd door een Amerikaans bedrijf. Met andere woorden: gebruik je clouddiensten van bijvoorbeeld Microsoft, Google of Amazon, dan kan de Amerikaanse overheid in theorie jouw gegevens opvragen, zelfs als die gegevens in een datacenter in de EU (bijv. Frankfurt of Amsterdam) staan. De CLOUD Act bepaalt expliciet dat privacywetten van andere landen (zoals onze AVG) geen geldig excuus zijn om niet mee te werken aan zo’n verzoek.
Dit is geen vergezocht scenario. Zo heeft Microsoft recent in Frankrijk toegegeven dat het data van klanten aan de Amerikaanse overheid zal overhandigen als daarom wordt gevraagd via de CLOUD Act, óók als die data op Europees grondgebied staat. Bovendien mag een provider je vaak niet eens vertellen dat jouw data is opgevraagd. De kern is dus: het gaat niet alleen om wáár je data staat, maar vooral om wie er bij kan.
Wat eist de AVG in de praktijk?
Tegenover de CLOUD Act staat de Europese AVG (Algemene Verordening Gegevensbescherming, internationaal bekend als GDPR). De AVG stelt strikte eisen aan organisaties die persoonsgegevens verwerken. In de praktijk betekent dit o.a. dat je persoonsgegevens rechtmatig en transparant moet verwerken, dat je niet méér data verzamelt dan nodig (dataminimalisatie), en dat je die data goed beveiligt. Je moet bovendien zorgen voor passende waarborgen als je data deelt met derden. Vooral bij gevoelige gegevens (zoals medische informatie, strafrechtelijke gegevens of financiële data) ligt de lat extra hoog.
Een belangrijk principe van de AVG is dat persoonsgegevens van EU-inwoners bij voorkeur binnen de EU blijven voor verwerking. Verstuur je gegevens naar buiten de Europese Economische Ruimte, dan moet je aantonen dat ze daar evengoed beschermd worden. Dit kan via speciale mechanismen, zoals Standard Contractual Clauses (SCC’s) of andere passende waarborgen, én vaak een zogeheten Transfer Impact Assessment. Zonder zulke maatregelen is het niet toegestaan om persoonsgegevens zomaar op een buitenlandse server te zetten. Met andere woorden: de AVG eist in de praktijk rechtmatigheid, transparantie en dataveiligheid, en beperkt het delen van data met landen die geen vergelijkbare privacywetgeving hebben.
Waar wringt het voor Nederlandse MKB’s?
Hier ontstaat het spanningsveld voor Nederlandse bedrijven. Veel populaire cloudtools die MKB’ers dagelijks gebruiken, vallen namelijk onder Amerikaanse moederbedrijven, denk aan: Microsoft 365 (Office, Outlook, SharePoint), Google Workspace (Gmail, Drive), Dropbox, Zoom en ga zo maar door. Door die Amerikaanse connectie kunnen deze diensten onder de CLOUD Act vallen. Je kunt dus keurig je data in een Europees datacenter opslaan en een verwerkersovereenkomst hebben, en tóch kan de Amerikaanse overheid via de CLOUD Act toegang krijgen tot die gegevens. Dit risico is reëel, niet alleen theoretisch.
Stel je voor: je bent een HR-adviesbureau dat personeelssdossiers in OneDrive opslaat, of een juridisch dienstverlener met vertrouwelijke klantdossiers in SharePoint. Jij houdt je aan de AVG en denkt dat alles veilig binnen de EU staat. Maar via een omweg kan een buitenlandse overheid alsnog meekijken, puur omdat je leverancier een Amerikaans bedrijf is. Erger nog, vaak merk je daar als klant helemaal niets van, omdat de cloudprovider je niet mag informeren over zulke data-opvragingen. En denk je dat encryptie je automatisch beschermt? Alleen als jíj zelf de sleutels beheert als, wat meestal niet zo is. En als de cloudprovider niet zich in Europa bevindt, kan hij gedwongen worden die af te geven, waardoor je versleutelde data alsnog leesbaar wordt.
Voor Europese bedrijven met gevoelige gegevens wringt dit des te meer. Je loopt namelijk dubbel risico: naast potentiële inzage door een vreemde mogendheid, kun jij volgens de AVG ook aangesproken worden op zo’n dataverstrekking. De AVG verbiedt namelijk de ongeoorloofde doorgifte van persoonsgegevens aan derden. Worden jouw klant- of werknemersgegevens via de cloudpartner onrechtmatig gedeeld, dan kun jij als verantwoordelijke aansprakelijk zijn voor een datalek of AVG-overtreding. De boetes kunnen oplopen tot 20 miljoen euro of 4% van je jaaromzet. Daarnaast is er de reputatieschade: zelfs als je formeel niets fout doet, kan zo’n situatie het vertrouwen van klanten ernstig schaden.
Wat betekent dit voor jouw cloudkeuzes?
Kort gezegd betekent dit dat je bewust moet nadenken over wélke cloudoplossingen je inzet, vooral als je met gevoelige informatie werkt. Het risico op CLOUD Act-verzoeken is weliswaar klein volgens sommige onderzoeken, maar het bestáát, en een incident kan genoeg zijn voor een groot probleem. In sectoren als juridische dienstverlening, HR, zorg of consultancy, waar vertrouwelijkheid cruciaal is, wil je geen onnodige gaten in je databescherming. Een dienst als Microsoft 365 biedt veel gemak, maar brengt ook een latente juridische exposure met zich mee: je gegevens vallen indirect onder twee rechtsregimes (EU én VS). Dat is een spagaat die je als kleinere organisatie liever wilt vermijden.
Gelukkig komen er steeds meer alternatieven op de markt die dit dilemma niet hebben. Er zijn inmiddels 100% Europese clouddiensten verkrijgbaar die volledig onder EU-wetgeving vallen en geen Amerikaanse moederorganisatie hebben. Denk aan lokale aanbieders van opslag, mail en samenwerkingstools. Een voorbeeld is Hosted Nextcloud, een cloudplatform aangeboden door ons dat dezelfde functionaliteit biedt als bijvoorbeeld Office 365 (documenten delen, agenda, videovergaderen, et cetera), maar dan volledig Nederlands. Alle data blijft binnen Nederland opgeslagen, het beheer is in Nederlandse handen, en er is dus geen Cloud Act-risico. Zo’n oplossing is van meet af aan ontworpen om AVG-proof te zijn, zonder in te leveren op productiviteit of gebruiksgemak.
Met dit soort keuzes houd je controle en voorkom je de juridische spagaat. Je voorkomt datagovernance-issues en laat aan klanten zien dat je privacy serieus neemt. Onderstaand schema vat de belangrijkste verschillen tussen de Amerikaanse CLOUD Act en de Europese AVG nog eens beknopt samen:
| Aspect | CLOUD Act (VS) | AVG (EU) |
|---|---|---|
| Doel | Opsporing: geeft opsporingsdiensten recht om data op te vragen bij providers, ook over de landsgrenzen heen. | Privacybescherming: geeft individuen controle over hun persoonsgegevens en verplicht organisaties tot zorgvuldige dataverwerking. |
| Reikwijdte | Geldt voor alle Amerikaanse cloudproviders (en zelfs buitenlandse providers met een vestiging in de VS); omvat data wereldwijd, ongeacht waar die is opgeslagen. | Geldt voor alle organisaties die persoonsgegevens van EU-inwoners verwerken, ongeacht waar zij gevestigd zijn). |
| Toegang tot data | Via een bevel (warrant/subpoena) kunnen Amerikaanse autoriteiten clouddata opeisen, zelfs als die op een server in de EU staat Providers móeten meewerken; buitenlandse privacywetgeving (bv. AVG) wordt daarbij genegeerd. | Toegang strikt gereguleerd: persoonsgegevens mogen niet zomaar met derden of buitenlandse autoriteiten worden gedeeld. Artikel 48 AVG verbiedt overdracht aan een land als de VS zonder verdrag of andere wettelijke basis. |
| Mitigatie-opties | Lastig: Enige opties zijn gebruikmaken van sterke encryptie (met eigen sleutel) zodat data onleesbaar blijft, of voorkomen dat je data bij een Amerikaans bedrijf staat (kies een EU-provider). Een individuele provider kan een verzoek slechts weigeren bij zwaarwegend conflict met lokaal recht. | Divers: Gebruik van SCC’s en extra waarborgen bij data-export, pseudonimisering/encryptie, of simpelweg dataprocessing binnen de EU houden om risico’s te vermijden. Bovendien kun je als bedrijf bewust kiezen voor leveranciers die niet onder derde-land wetgeving vallen. |
| Wie moet handelen | De cloudprovider is gehoorzaamheid verschuldigd aan de Amerikaanse wet en moet data verstrekken op verzoek. De klant (jouw bedrijf) heeft hierop weinig invloed en wordt vaak niet eens geïnformeerd bij een overdracht. | Jíj als verwerkingsverantwoordelijke moet zorgen voor naleving van de AVG. Jij kiest veilige leveranciers, sluit de juiste contracten en treft technische maatregelen. Bij een overtreding ben jij aansprakelijk richting toezichthouders (boetes) en betrokkenen. |
Zes praktische stappen om risico’s te beperken
Tot slot, wat kun je in de praktijk doen om de risico’s te verkleinen zonder meteen alle cloudtools de deur uit te doen? Hieronder zes stappen die elke organisatie kan nemen:
Maak een data-inventarisatie: Breng in kaart welke gegevens je waar opslaat en wie er toegang toe heeft. Denk aan klantdata op SharePoint, e-mails in Gmail, financiële data in online boekhoudsoftware, etc. Dit inzicht is stap één: je kunt pas risico’s beheersen als je weet waar je data staat en onder welke jurisdictie die valt.
Kies voor EU-only hosting bij een lokale provider: Geef de voorkeur aan clouddiensten die hun datacenters uitsluitend in de EU hebben en géén Amerikaanse moedermaatschappij. Als je bijvoorbeeld overstapt naar een Nederlandse partij (zonder vestigingen in de VS) voor e-mail, opslag of samenwerking, valt je data buiten het bereik van de CLOUD Act. (Hosted Nextcloud van ons is zo’n voorbeeld van een volledig Nederlandse cloudoplossing.)
Gebruik end-to-end encryptie met eigen sleutels: Versleutel gevoelige informatie voordat je het in de cloud zet, zodanig dat alleen jij de sleutel hebt. Hierdoor kan niemand (ook je cloudprovider niet) de inhoud lezen als de data onderschept of opgevraagd wordt. Let op: zelf bestanden versleutelen betekent wel dat je inlevert op gemak (bijv. zoekfuncties of realtime samenwerking werken mogelijk niet). Toch is sterke encryptie een krachtig middel om je meest waardevolle data af te schermen.
Sluit goede verwerkersovereenkomsten en stel SCC’s + TIA op: Zorg dat je met iedere cloudleverancier een verwerkersovereenkomst (Data Processing Agreement) hebt die voldoet aan de AVG. Hierin staat onder andere waar data wordt opgeslagen en wat de leverancier wel/niet mag doen. Als jouw data toch buiten de EU verwerkt wordt, gebruik dan de Standard Contractual Clauses (SCC) van de EU en voer een Transfer Impact Assessment (TIA) uit. Zo leg je juridisch vast welke bescherming geldt en beoordeel je of extra maatregelen nodig zijn. Dit is sinds het Schrems II-arrest feitelijk verplicht voor iedere doorgifte van data naar de VS (of andere landen zonder adequaatheidsbesluit).
Stel een streng toegangs- en loggingbeleid op: Beperk intern de toegang tot cloudgegevens tot alleen die medewerkers die het nodig hebben (need-to-know). Richt ook goede logging in: houd bij wie wanneer bij bepaalde data kan en wat ermee gebeurt. Sterke toegangscontrole en logbestanden maken het moeilijker voor onbevoegden (of ongewenste externe partijen) om ongemerkt bij veel data te komen. Bovendien eist de AVG dat je passende beveiligingsmaatregelen treft – en in sectors als zorg of finance is uitgebreide logging vaak zelfs verplicht. Het helpt je ook om bij een incident exact te achterhalen wat er is gebeurd.
Evalueer je cloudpartners met een vendor risk assessment: Onderzoek periodiek je leveranciers op risico’s. Vraag jezelf en hen: Onder welke jurisdictie vallen ze? Welke data kunnen zij inzien? Hoe gaan ze om met overheidsverzoeken? Check of ze aan relevante certificeringen voldoen (ISO 27001, ISO 27701 voor privacy, etc.) en hoe ze hun beveiliging op orde hebben. Op basis van zo’n vendor risk assessment kun je onderbouwde beslissingen nemen: ga je door met deze tool, neem je extra maatregelen, of stap je over naar een alternatief? Leg deze afwegingen ook vast, zodat je kunt aantonen dat je proactief met datarisico’s omgaat.
Neem deze stappen liefst op in je reguliere IT- en privacybeleid. Zo werk je gestructureerd aan compliance zonder te vervallen in ad-hoc acties.
Conclusie
Data-soevereiniteit en privacybescherming worden steeds belangrijker voor bedrijven. Door nu bewust te kiezen voor de juiste cloudoplossingen en voorzorgsmaatregelen, voorkom je verrassingen later. Waarom zou je onnodig in een juridische spagaat staan als het ook anders kan? onze Hosted Nextcloud, helpt jouw bedrijf dit te voorkomen: 100% Nederlands, alle samenwerkingstools die je kent, maar zonder Cloud Act-zorgen en volledig AVG-proof. Wil je weten hoe jouw organisatie ervoor staat en waar verbeterpunten liggen? Neem dan contact met ons op!
