Deze laatste post, naar aanleiding van de presentatie op de DAMA Datamanagement-dag (slides), bespreekt de oplossingen die Amerikaanse leveranciers bieden om de Amerikaanse jurisdictie over data in de EU te adresseren. Daarnaast ga ik in op de verschillen tussen datasoevereiniteit en digitale autonomie en laat ik zien dat het vraagstuk van digitale autonomie eigenlijk veel belangrijker is. Voor nieuwe inschrijvers: de twee eerdere delen in deze serie vind je op deel 1 en deel 2.
Oplossingen van Microsoft en Amazon
Laten we eerst kijken naar de oplossingen die twee grote Amerikaanse cloudleveranciers, namelijk Microsoft en Amazon, bieden. In juni 2025 kondigde Microsoft een aantal initiatieven aan binnen zijn 'soevereine cloud'. Meer informatie vind je in deze blogpost. Met deze oplossingen kunnen klanten Azure en Microsoft 365 in hun eigen datacenter hosten (Azure Local en Microsoft 365 Local). Hoe dit er precies uit komt te zien wordt uit publieke bronnen nog niet helemaal duidelijk. In ieder geval bevat dit de producten Exchange Server en SharePoint Server, maar ik kan me zomaar voorstellen dat de localvariant niet alle andere producten of functionaliteiten bevat die de cloudvariant van Azure en Microsoft 365 wel kennen. Daarnaast maakt Microsoft hosting door Europese cloudleveranciers mogelijk voor overheden en leveranciers van kritieke infrastructuur en diensten.
Het ontlokt me overigens een glimlach dat de lokale Exchange en Sharepoint servers nu als een innovatie wordt gepresenteerd, terwijl Microsoft jarenlang met zachte dwang klanten deze functionaliteiten naar de cloud heeft laten migreren.
De verschillende maatregelen die Microsoft neemt om ook klanten in de cloud tegen de Cloud Act en FISA te beschermen zijn weergegeven in de onderstaande figuur.
De eerste maatregel is de EU Data Boundary, die zorgt dat data binnen de EU wordt opgeslagen. Zoals al besproken in de vorige blogpost biedt dit juridisch gezien geen volledige bescherming, maar natuurlijk is het altijd goed om praktische barrières op te werpen voor andere overheden die toegang willen tot data van EU-bedrijven.
De Data Guardian zorgt ervoor dat Microsoft-personeel in Europa de controle heeft over remote access en houdt technisch en menselijk toezicht wanneer engineers buiten de EU toegang nodig hebben. Alle toegang wordt gelogd in een manipulatiebestendig systeem. Uit de post wordt niet helemaal duidelijk of Amerikaans personeel dat in de EU werkt, toegang tot de data krijgt. Zoals in de eerdere post besproken, kan de Amerikaanse overheid bij Amerikaanse staatsburgers alsnog toegang tot data vorderen. Ik vraag me persoonlijk af of het moederbedrijf echt geen toegang kan krijgen als het erop aankomt.
De derde maatregel is External Key Management. Dit betekent dat alleen de klant de sleutel in bezit heeft. Hierdoor heeft Microsoft alleen toegang tot versleutelde data en kan het bedrijf alleen versleutelde data aan de Amerikaanse overheid leveren. Versleuteling van data is, mits goed toegepast, een effectieve manier om de vertrouwelijkheid van data te beschermen. De versleuteling van data-at-rest (opgeslagen data) en data-in-transit (data in transit) is volwassen technologie. Zodra data echter online verwerkt moet worden, bijvoorbeeld in een AI-model in de cloud, wordt het ingewikkelder. Hoewel er technieken bestaan om dit versleuteld te doen, zijn deze nog geen gemeengoed. External Key Management is dus een goede maatregel, maar niet voor alle toepassingen geschikt.
Tot slot biedt Microsoft Regulated Environment Management, waarmee klanten al deze functionaliteiten centraal kunnen beheren.
Hoe effectief zijn al deze maatregelen? Anton Carniaux, Directeur Publieke en Juridische Zaken bij Microsoft Frankrijk, stelde hierover: 'Nee, ik kan het niet garanderen, maar tot nu toe is het nog nooit gebeurd.' (bron: link). Ook volgens hem is er dus geen garantie dat de data niet in handen van de Amerikaanse overheid valt. Hoewel Microsoft probeert transparant te zijn door periodieke rapportages uit te brengen, ontbreekt een volledig overzicht, omdat FISA-verzoeken geheim kunnen zijn. De maatregelen maken het wel praktisch moeilijker voor de Amerikaanse overheid om bij de data te komen (mits er natuurlijk geen backdoors zijn).
Amazon richt een nieuw moederbedrijf op met drie dochterondernemingen, die vanuit Duitsland zullen opereren. Het managementteam zal volledig bestaan uit EU-burgers die in de EU wonen en werken (bron). Hoe dit in de praktijk vorm krijgt, is op basis van de publieke informatie nog niet helemaal duidelijk. Ik twijfel sterk of dit ervoor zorgt dat dit nieuwe bedrijf buiten de reikwijdte van de Cloud Act valt. Zelfs als er geen formele banden meer zijn met Amazon in de VS, kan het bedrijf nog steeds voldoende juridische banden (criterium van 'sufficient contacts') met de VS hebben om, vanuit Amerikaans perspectief bezien, onder Amerikaanse wetgeving te vallen. We zullen zien hoe dit zich de komende tijd ontwikkelt.
Datasoevereiniteit versus digitale autonomie
Hoe nu verder? Moeten we helemaal stoppen met zaken doen met Amerikaanse bedrijven en de oude Nokia van stal halen? Dat lijkt mij noch wenselijk, noch verstandig. Waar we wel vanaf moeten, is de vanzelfsprekendheid om alles in de Amerikaanse cloud te hosten (al dan niet op EU-grondgebied). Het is verstandig om per geval de kansen en risico's af te wegen. Kijk daarbij niet alleen naar het risico op schending van vertrouwelijkheid, maar ook naar de beschikbaarheid. Twee cruciale vragen zijn: hoe ernstig is het als gegevens uitlekken? En: kun je nog doorwerken als een Amerikaans bedrijf onder druk van de Amerikaanse overheid de toegang (tijdelijk) afsluit? Voor sommige gegevens en toepassingen is dit minder kritiek. Maar bij gevoelige gegevens van Nederlandse burgers, gegevens die de nationale veiligheid raken of gegevens waar je niet zonder kunt, zelfs niet voor een paar dagen, is het verstandig om niet alles gedachteloos naar de Amerikaanse cloud te migreren. 'Het kan niet anders' is vaak slechts een smoesje om de makkelijke route te kiezen.
Daarnaast is het belangrijk om een stap terug te nemen en verder te kijken dan de eigen bedrijfssituatie. Tot nu toe hebben we vooral besproken over datasoevereiniteit, met andere woorden: of een partij voor toegang tot de eigen data en het overhandigen ervan aan derde partijen alleen onderworpen is aan wetten van het eigen land. Een veel breder en belangrijker vraagstuk is dat van digitale autonomie, met andere woorden: of een partij onafhankelijk van externe partijen (vooral buitenlandse overheden) en zelfvoorzienend in het digitale domein kan functioneren. Volledige digitale autonomie zal geen enkel land bereiken, ook techbedrijven in de VS zijn natuurlijk ook afhankelijk van de machines die ASML produceert. Echter is het wel wenselijk om als EU zo autonoom mogelijk op digitaal gebied te zijn. Het vraagstuk van autonomie richt zich niet alleen op de afhankelijkheid van buitenlandse overheden, maar ook op de afhankelijkheid van (buitenlandse) techbedrijven.
Wat betekent het voor de toekomst van de EU als al het complexe IT-werk wordt overgelaten aan bedrijven buiten Europa en Europa zich puur als IT-consument gedraagt? Dat wij als Europeanen alleen zitten te prompten, terwijl de grote nieuwe AI-modellen vooral in de VS en China worden gemaakt? Ook ASML-topman Peter Wennink waarschuwde voor zelfgenoegzaamheid in Nederland: "We zijn dik, dom en blij." De vraag is hoe we met z'n allen ervoor dat de EU in de toekomst een relevante speler in de wereld blijft. Het gaat niet alleen om IT, maar ook om strategische sectoren zoals havens en de chipindustrie. Het risico is de EU haar autonomie verliest en volledig afhankelijk wordt van de beslissingen van andere wereldspelers. Als we op deze lijn doorgaan, dreigt Europa te vervallen tot een passieve consument, onderworpen aan de nukken van grote mogendheden.
Europese alternatieven
Echte datasoevereiniteit blijft zoals eerder aangegeven onhaalbaar zolang er zaken worden gedaan met Amerikaanse bedrijven. Soms is dat problematisch, soms niet. Het grootste probleem van de "datasoevereiniteitsoplossingen" van Amerikaanse cloudleveranciers is echter dat ze slechts een schijn van soevereiniteit bieden. Hierdoor kiezen klanten vaak voor het gemak van de status quo, wat ten koste gaat van de ontwikkeling van echt soevereine EU-alternatieven en de gewenste digitale autonomie. Gelukkig zijn er wel positieve ontwikkelingen te zien bij overheidsinstellingen die het voortouw nemen, zoals Duitsland en het Oostenrijkse leger. Zullen dit soepele trajecten zijn? Waarschijnlijk niet. In eerste instantie zullen gebruikers waarschijnlijk comfort en gemak moeten inleveren om daadwerkelijke autonomie te bereiken.
Opvallend is dat open source vaak als het alternatief voor Amerikaanse big tech wordt gepresenteerd. Hoewel open source zeker waardevol is, is deze benadering te beperkt. Ook commerciële Europese aanbieders van closed source oplossingen kunnen een volwaardig alternatief bieden. Open source draagt zeker bij aan meer digitale autonomie, aangezien je zelf de broncode kunt aanpassen, maar het is in mijn ogen niet het belangrijkste in de discussie over autonomie.
Voor wie zich wil oriënteren op Europese alternatieven en deze ook eens een kans wil geven, is European Alternatives een goed startpunt. Enkele voorbeelden:
- Proton als alternatief voor e-mailhosting,
- Whereby en Wire voor videoconferentie,
- Mistral als alternatief voor ChatGPT (hoewel ChatGPT op dit moment nog iets betere resultaten levert),
- OVHcloud en Scaleway als generieke cloudleveranciers.
Conclusie
Het hosten van data door Amerikaanse bedrijven op grondgebied van de lidstaten van de EU biedt geen volledige bescherming tegen Amerikaanse wetgeving, zoals de Cloud Act of FISA. De oplossingen van Microsoft en Amazon bieden wel praktische barrières, bijvoorbeeld door toegang tot data voor het moederbedrijf te bemoeilijken. Daarnaast mogen Europese dochterbedrijven persoonsgegevens niet zonder meer aan de Amerikaanse overheid overdragen.
Naast vertrouwelijkheid verdient ook beschikbaarheid aandacht. Maar het echte probleem ligt dieper dan datasoevereiniteit alleen: het draait om digitale autonomie. De "soevereine" cloud-oplossingen van big tech bieden waarschijnlijk al geen echte datasoevereiniteit, maar ze zorgen er ook voor dat er elk jaar een grote geldstroom de plas over gaat die ook gebruikt kan worden voor het innoveren in Europese bedrijven die zorgen voor meer digitale autonomie binnen de EU. Een iets diverser landschap van IT-bedrijven kan geen kwaad. Waarom slechts kiezen tussen de paar grote Amerikaanse techbedrijven en hun machtspositie nog verder versterken?
Een volledige breuk met Amerikaanse technologie is op dit moment niet realistisch en niet wenselijk. Wel is het cruciaal om bewust te kiezen wat wel en niet de Amerikaanse cloud in gaat. Wat zijn de concrete risico’s? En hoe kan de overheid ervoor zorgen dat Europese technologie zich verder ontwikkelt?
Tijdens mijn presentatie kreeg ik overigens de vraag waarom directeuren van bedrijven naar mijn saaie juridische verhaal moesten luisteren, terwijl Microsoft ze uitnodigt naar de VS om daar mooie diners en feesten bij te wonen. Ik wist niet of ik nu om deze vraag moest lachen of moest huilen. Het geeft wel aan hoe de praktijk soms werkt. In ieder geval heb ik de vraagsteller, evenals de directeuren, uitgenodigd om zelf te blijven nadenken. En nog even voor de goede orde: mijn verhaal was niet saai :-).
Het is belangrijk om te onthouden: de massale migratie naar de Amerikaanse cloud is een recente ontwikkeling en dus ook omkeerbaar.
p.s. Vind je deze nieuwsbrief interessant? Deel 'm gerust met collega's, studiegenoten, vrienden of familie!
In de volgende edities ga ik dieper in op de AI-verordening (AI Act) en de dataverordening (Data Act). Heb je specifieke onderwerpen of vraagstukken die je graag behandeld ziet? Laat het me weten door te reageren op deze e-mail. Ik hoor graag wat jou bezighoudt!