Memo implicaties Cloud Act


In 2022 publiceerde advocatenkantoor Greenberg Traurig LLP, in opdracht van het Nationaal Cyber Security Centrum (NCSC, onderdeel van het Ministerie van Justitie en Veiligheid), een memo over de implicaties van de Cloud Act voor Europese entiteiten (link naar memo). Centraal stond de vraag: 'Kunnen Europese entiteiten onder de Cloud Act vallen, zelfs als ze niet in de VS gevestigd zijn?' Het antwoord was bevestigend.

Europese entiteiten kunnen BUITEN de reikwijdte van de Cloud Act blijven door data te laten verwerken door:

  • een niet-Amerikaanse entiteit die:
    • geen 'corporate relation' heeft met een bedrijf met 'presence' in de VS en ook niet voldoet aan de maatstaf van 'sufficient contacts' met de VS.
  • een niet-Amerikaanse entiteit die een 'corporate relation' heeft met een VS-bedrijf, mits het Amerikaanse bedrijf géén 'possession, custody, or control' heeft over de in de EU opgeslagen data.

Bij een Amerikaanse moedermaatschappij gaat de Cloud Act er in beginsel van uit dat deze 'possession or control' heeft over de data van de dochteronderneming.

Het bureau raadt af om Amerikaanse burgers in dienst te nemen die toegang hebben tot de relevante data. De Amerikaanse overheid kan namelijk via de volgende middelen informatie van Amerikaanse burgers verkrijgen:

  • Voluntary consent (vrijwillige toestemming), hoewel dit vrijblijvend klinkt, voelen burgers zich in de praktijk vaak onder druk gezet om mee te werken.
  • Warrant (vergelijkbaar met een dagvaarding).
  • Subpoena (vergelijkbaar met een bewijsopdracht).
  • Civil investigative demand (een specifiek type bewijsopdracht).

Bij weigering om mee te werken aan de laatste drie middelen kunnen maatregelen aan een burger worden opgelegd door de Amerikaanse overheid.

De Cloud Act is encryptieneutraal: een cloudleverancier hoeft niet in staat te zijn om data van klanten te ontsleutelen. Als een klant zelf de encryptiesleutels beheert, moet de leverancier weliswaar de versleutelde data afgeven aan de Amerikaanse overheid als de Cloud Act dit vereist, maar zonder de sleutels kan de overheid de data niet lezen.

De Amerikaanse overheid heeft dus vanuit de eigen wetgeving in ieder geval twee belangrijke mogelijkheden om data van Europeanen in te zien. Enerzijds biedt de Cloud Act/Stored Communications Act (SCA) de Amerikaanse overheid de mogelijkheid om in strafrechtelijke onderzoeken gegevens te vorderen van een Amerikaanse cloudleverancier, zelfs als deze data in de EU is opgeslagen. De Cloud Act kent wel diverse strafrechtelijke waarborgen, waardoor niet zomaar informatie kan worden opgevraagd. Daarnaast kan de Amerikaanse overheid via sectie 702 van de FISA gegevens vorderen die van belang zijn voor de nationale veiligheid, waarbij de drempel voor het opvragen van informatie aanzienlijk lager ligt dan bij de Cloud Act.

Afspraken tussen de VS en Europa over persoonsgegevens


Hoewel er verschillende soorten gegevens zijn die wij als EU-burgers mogelijk willen beschermen tegen inzage door de Amerikaanse overheid, zoals staatsgeheimen, bedrijfsgeheimen en intellectueel eigendom, richt ik me hier uitsluitend op persoonsgegevens. Voor persoonsgegevens geldt sinds 2018 in de EU de AVG, die twee doelen dient: het bevorderen van de interne markt en het beschermen van de grondrechten van Europese burgers. Om een hoog beschermingsniveau te waarborgen, is doorgifte van persoonsgegevens naar landen buiten de EU niet zomaar toegestaan. Voor een beperkt aantal derde landen is doorgifte zonder aanvullende waarborgen mogelijk, dankzij een adequaatheidsbesluit van de Europese Commissie. Dit besluit betekent dat het betreffende land een passend beschermingsniveau biedt (nota bene: dit beschermingsniveau hoeft niet per se identiek aan dat van de EU te zijn). Landen met zo’n besluit zijn onder andere Zwitserland, Japan, Canada en het Verenigd Koninkrijk.

Voor de Verenigde Staten had de Europese Commissie al ten tijde van de voorloper van de AVG, richtlijn 95/46/EG, het Safe Harbor-besluit aangenomen. Hoewel de VS geen algemene privacywetgeving had die een passend beschermingsniveau bood, konden Amerikaanse bedrijven zich zelf certificeren bij het US Department of Commerce. Hierbij verklaarden zij zich te houden aan de Safe Harbor-principes. In 2015 oordeelde het Hof van Justitie van de EU in de zaak Schrems I dat deze regeling onvoldoende bescherming bood. Cruciaal was dat Amerikaanse bedrijven volgens Amerikaanse wetgeving verplicht waren persoonsgegevens af te staan aan de overheid voor doeleinden als nationale veiligheid, algemeen belang en rechtshandhaving, zonder voldoende beperkingen of waarborgen.

Ter vergelijking: ook binnen de EU kan de overheid onder strikte voorwaarden toegang krijgen tot persoonsgegevens van burgers, maar de Amerikaanse regeling miste essentiële beperkingen. Zo was de inbreuk op privacy niet beperkt tot het strikt noodzakelijke in een democratische samenleving, en ontbraken effectieve rechtsmiddelen voor EU-burgers om hun rechten te verdedigen. Het Hof verklaarde het Safe Harbor-besluit daarom in 2015 ongeldig.

In 2016 probeerde de Europese Commissie met het Privacy Shield-besluit een oplossing te bieden voor de gegevensoverdracht naar de VS. Maar ook deze regeling sneuvelde voor het Hof van Justitie, ditmaal in de Schrems II-zaak (2020). Het Hof oordeelde dat de surveillanceprogramma’s op basis van Section 702 FISA en Executive Order 12333 nog steeds niet voldeden aan de EU-normen voor een passend beschermingsniveau. De Amerikaanse wetgeving maakte ongerichte toegang tot persoonsgegevens mogelijk, zonder de vereiste beperkingen tot wat strikt noodzakelijk is in een democratische samenleving. Bovendien bleven EU-burgers zonder adequate rechtsmiddelen om hun privacyrechten af te dwingen. Het Privacy Shield-besluit werd daarom ongeldig verklaard, wat bedrijven opnieuw voor grote uitdagingen plaatste bij het legaal overdragen van persoonsgegevens naar de VS.

In 2023 nam de Europese Commissie voor de derde keer een besluit, nu onder de naam EU-US Data Privacy Framework. Biden zorgde via een Executive Order dat er een zogenaamde Data Protection Review Court (DPRC) opgericht werd die bindende besluiten kon nemen over beslissingen van Civil Liberties Protection Officers van Amerikaanse Intelligence-organisaties.

Begin september 2025 behandelde het Gerecht van het Hof van Justitie van de Europese Unie de zaak Latombe, waarin het EU-US Data Privacy Framework ter discussie stond. Het Gerecht handhaafde het besluit en oordeelde dat voorafgaande rechterlijke toestemming voor bulkverzameling niet per se vereist is; toetsing achteraf kan volgens het Gerecht volstaan. Ook stelde het dat de Data Protection Review Court (DPRC) voldoende onafhankelijk is. De praktische onafhankelijkheid van de DPRC is echter twijfelachtig: in januari 2025 ontsloeg president Trump de democratische leden van de DPRC, wat vraagtekens zet bij de werkelijke autonomie van het orgaan.

De Latombe-zaak verschilt procedureel van de Schrems-zaken: Latombe diende een rechtstreeks verzoek tot ongeldigverklaring in (bij het Gerecht), terwijl Schrems via prejudiciële vragen van nationale rechters procedeerde. Hierdoor is beroep bij het Hof van Justitie in de zaak Latombe nog mogelijk.

Max Schrems, de drijvende kracht achter eerdere privacyzaken, reageerde verbaasd: "It is clear that the lower court here massively departs from the case law of the CJEU. We are very surprised about this outcome. It may be that the General Court did not have sufficient evidence before it - or it wants to make a point to depart from the CJEU. We will have to analyse the ruling in more detail the next days." Als Latombe zelf geen beroep instelt, zullen ongetwijfeld andere zaken volgen.

Deze ontwikkelingen roepen fundamentele vragen op: denken de EU en de VS niet gewoon anders over privacy? Waar Europa vasthoudt aan grondrechten en beperkte inbreuken, staat in de VS vaak nationale veiligheid en economisch belang voorop. De vraag is of we elkaar niet vooral voor de gek houden met deze constructies zolang de Amerikaanse wetgeving (zoals FISA 702, de Cloud Act en EO 12333) ongewijzigd blijft.

Conflict Amerikaanse en Europese wetgeving


Europese dochterondernemingen van Amerikaanse bedrijven zijn gebonden aan lokale en nationale wetgeving, zoals de AVG. Artikel 48 AVG stelt duidelijk dat een rechterlijke uitspraak of administratief besluit uit een derde land, zoals de VS, alleen erkend mag worden als deze gebaseerd is op een internationale overeenkomst (bijv. een verdrag). Zonder geldige grondslag voor de internationale doorgifte mag een verwerkingsverantwoordelijke persoonsgegevens niet doorgeven aan een buitenlandse overheid, zelfs niet als die buitenlandse overheid dit vordert op basis van eigen wetgeving, zoals de Cloud Act of FISA.

Dit plaatst het Amerikaanse moederbedrijf in een juridisch dilemma: aan de ene kant is het verplicht om data af te staan aan de Amerikaanse overheid, aan de andere kant mag de Europese dochter dit niet doen zonder geldige grondslag onder de AVG. In theorie biedt dit bescherming, maar in de praktijk rijzen twee cruciale vragen:

  1. Dwingende invloed: In hoeverre kan het moederbedrijf de dochter onder druk zetten om toch gegevens te delen, bijvoorbeeld via bestuurlijke maatregelen, financiële afhankelijkheid of sancties?
  2. Technische omzeiling: Heeft het moederbedrijf toegang tot systemen of achterdeuren die het in staat stellen om data indirect te verkrijgen, zonder medewerking van de dochter?

De AVG biedt dus juridische bescherming voor persoonsgegevens, maar de werkelijke machtverhoudingen binnen concernstructuren en de technische mogelijkheden van het moederbedrijf maken deze bescherming in de praktijk kwetsbaar. Het blijft een grijs gebied waar juridische verplichtingen botsen met praktische realiteit.

In het volgende deel van deze artikelenreeks over datasoevereiniteit gaan we in op de oplossingen van twee grote Amerikaanse partijen, namelijk Microsoft en Amazon.