Denk je dat je data veilig opgeslagen ligt omdat het op een Europese server staat in een Europees land? Zo simpel is het helaas niet. Als het bedrijf dat de dienstverlening doet Amerikaans is reikt de macht van Amerika ver buiten zijn/haar eigen grenzen. Dit komt door 2 Amerikaanse wetten waar ook wij in Europa mee te maken krijgen (en die zelfs botsten met de Europese wetten).
De Clarifying Lawful Overseas Use of Data (CLOUD) Act is een Amerikaanse wet die Amerikaanse opsporingsdiensten het recht geeft gegevens op te eisen bij Amerikaanse bedrijven die voorzien in elektronische communicatie. Daar zit geen gerechtelijke toetsing tussen en is ongeacht waar ter wereld die gegevens liggen opgeslagen. Dus heb jij je gegevens opgeslagen bij bijv. Microsoft, Google of Amazon, dan kan de Amerikaanse overheid erbij. Ook als die bedrijven een Europese tak hebben, met Europese datacentra en Europese werknemers.
Dan is er nog de Foreign Intelligence Surveillance Act. Hierdoor kan de Amerikaanse veiligheidsdienst NSA Amerikaanse bedrijven verplichten om data te delen van iedereen waar de NSA in geïnteresseerd is. Wederom ook als die data in Europa staan. Extra detail hier is sectie 702: Amerikaanse bedrijven kunnen gedwongen worden om niks te zeggen als jouw data worden opgevraagd en bekeken. Dit noemen ze ook wel een gag-order.
Deze 2 wetten samen overrulen dus eigenlijk de Europese privacywet. Dus jij denkt netjes aan de AVG te voldoen, en toch heeft Amerika toegang tot jouw data (en dus ook tot de gegevens die jij van jouw klanten hebt). Versleuteling zou nog een oplossing kunnen zijn dat Amerikaanse bedrijven niet bij jouw data kunnen, maar dan moet je dus wel zélf de sleutel hebben. Dat is vaak niet zo omdat het Amerikaanse bedrijf de versleuteling voor jou regelt. In het geval de Amerikaanse overheid interesse heeft in jouw data is het techbedrijf verplicht om ook de encryptiesleutel te overhandigen. Zodoende is die versleuteling dan ook een wassen neus.
Precies daar wringt de schoen. Volgens de AVG mogen de gegevens van Europese burgers niet zomaar buiten de EU verwerkt worden. En toch kunnen Amerikaanse bedrijven door de Amerikaanse wetten gedwongen worden om Europese data op Europese servers van Europese burgers te overhandigen aan Amerika.
Het gevolg is dat je als Nederlands bedrijf zomaar schuldig kunt zijn aan schending van de AVG, ondanks dat het je dienstverlener is die de data overhandigt. En laten we zeggen: de boetes die je krijgt zijn niet mals.
Het gaat niet alleen om opslag in de cloud, het gaat ook om e-maildiensten, online boekhoudprogramma’s, samenwerkingstools, etc.. Wees je daarom bewust van welke data je (online) opslaat, waar je dat doet en wie (juridisch) toegang heeft. Alleen kijken naar een Europese server is niet (meer) genoeg.
Erkend lid van Tekstnet,
beroepsvereniging van tekstschrijvers
Wil je regelmatig nieuw werk van mij lezen? Op mijn platform bewustleven.corriekamminga.nl publiceer ik wekelijks nieuwe artikelen over duurzaamheid, bewust leven en mijn zoektocht naar hoe het anders kan. Je bent van harte welkom!
© 2014-2026 Corrie Kamminga