Waarom de US Cloud Act een probleem en risico is voor Europa en de rest van de wereld: een wet met verreikende gevolgen

Waarom de US Cloud Act een probleem en risico is voor Europa en de rest van de wereld: een wet met verreikende gevolgen

Dit artikel analyseert de Amerikaanse Clarifying Lawful Overseas Use of Data (CLOUD) Act van 2018 en de verreikende gevolgen ervan voor wereldwijde gegevensbescherming, datasoevereiniteit en internationale samenwerking. De CLOUD Act geeft Amerikaanse autoriteiten de bevoegdheid om van Amerikaanse communicatie- en cloudserviceproviders te eisen dat zij gegevens in hun bezit, beheer of onder hun controle openbaar maken, ongeacht waar de gegevens fysiek zijn opgeslagen – ook buiten de VS. Deze extraterritoriale reikwijdte is fundamenteel in strijd met gegevensbeschermingsregimes zoals de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie, met name de regels inzake internationale gegevensoverdracht (artikel 48 AVG).

De analyse toont aan dat de CLOUD Act aanzienlijke juridische onzekerheid creëert voor wereldwijd opererende bedrijven die te maken krijgen met tegenstrijdige wettelijke vereisten. De wet ondermijnt het vertrouwen in Amerikaanse technologieleveranciers en gevestigde mechanismen voor gegevensoverdracht, een probleem dat nog verergerd wordt door de Schrems II-uitspraak van het Europees Hof van Justitie. Buiten Europa brengt de wet risico's met zich mee van overheidstoezicht, industriële spionage en conflicten met lokale rechtssystemen wereldwijd.

De wereldwijde afhankelijkheid van grote Amerikaanse cloudproviders (AWS, Microsoft Azure, Google Cloud) is enorm, met name in Noord-Amerika en Europa. Tegelijkertijd ontwikkelen landen als China en Rusland gesloten digitale ecosystemen met sterke lokale aanbieders en strenge regelgeving, waardoor hun afhankelijkheid afneemt. Andere landen en regio's, waaronder de EU met initiatieven zoals Gaia-X en de Data Act, volgen verschillende strategieën om risico's te beperken, variërend van wetgeving inzake datalokalisatie en de bevordering van lokale alternatieven tot het sluiten van bilaterale overeenkomsten met de VS.

Ondanks de legitieme noodzaak om de grensoverschrijdende rechtshandhaving te versnellen – een kerndoel van de CLOUD Act gezien de traagheid van traditionele procedures voor wederzijdse rechtshulp – stellen veel critici dat de wet er niet in slaagt een bevredigend evenwicht te vinden tussen effectieve misdaadpreventie en de bescherming van fundamentele rechten en nationale soevereiniteit. Het rapport sluit af met aanbevelingen voor bedrijven en beleidsmakers over hoe zij in dit complexe landschap moeten navigeren.

Geschikt hiervoor:

• Afhankelijk van de Amerikaanse wolk? Duitslands strijd voor de cloud: hoe te concurreren met AWS (Amazon) en Azure (Microsoft)

De Amerikaanse CLOUD Act en de impact ervan op de Europese gegevenssoevereiniteit

De voortgaande digitalisering en de daarmee gepaard gaande verschuiving van gegevensverwerking en -opslag naar de cloudinfrastructuren van wereldwijde aanbieders hebben de manier waarop bedrijven en overheidsinstanties opereren fundamenteel veranderd. Met name de diensten van de grote Amerikaanse hyperscalers – Amazon Web Services (AWS), Microsoft Azure en Google Cloud Platform (GCP) – zijn een integraal onderdeel geworden van de digitale infrastructuur van veel landen. Deze ontwikkeling biedt een enorm potentieel voor efficiëntie en innovatie, maar creëert tegelijkertijd nieuwe en complexe uitdagingen voor gegevensbescherming, gegevensbeveiliging en de waarborging van nationale soevereiniteit.

Dit probleem werd aanzienlijk verergerd door de aanname van de Amerikaanse Clarifying Lawful Overseas Use of Data (CLOUD) Act in maart 2018. Deze Amerikaanse federale wet verleent Amerikaanse wetshandhavings- en onderzoeksinstanties ruime bevoegdheden om toegang te krijgen tot gegevens die wereldwijd worden opgeslagen en beheerd door Amerikaanse bedrijven of bedrijven die onder Amerikaanse jurisdictie vallen. De kern van het probleem ligt in de expliciete extraterritoriale reikwijdte van de wet: Amerikaanse autoriteiten kunnen de vrijgave van gegevens eisen, zelfs als deze zich op servers buiten de Verenigde Staten bevinden.

Deze wettelijke bepaling leidt tot directe en fundamentele conflicten met gevestigde gegevensbeschermingsregimes in andere landen, met name de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie. De mogelijkheid voor Amerikaanse autoriteiten om toegang te krijgen via omzeiling van internationaal overeengekomen procedures voor wederzijdse rechtshulp en mogelijk zonder te voldoen aan de strenge Europese normen voor gegevensbescherming, baart grote zorgen over overheidstoezicht, industriële spionage en de aantasting van digitale soevereiniteit. De CLOUD Act wordt daarom algemeen beschouwd als problematisch en een risico voor bedrijven en burgers, niet alleen in Europa, maar wereldwijd.

Dit artikel beoogt een uitgebreide en goed onderbouwde analyse te geven van de Amerikaanse CLOUD Act en de wereldwijde impact ervan. Het analyseert de kernmechanismen van de wet en de extraterritoriale dimensie ervan. Bijzondere aandacht wordt besteed aan een gedetailleerd onderzoek naar mogelijke conflicten met de Algemene Verordening Gegevensbescherming (AVG) van de EU en de daaruit voortvloeiende implicaties voor de Europese gegevenssoevereiniteit, mede in het licht van de jurisprudentie van het Europees Hof van Justitie (EHJ), met name de Schrems II-uitspraak. Daarnaast worden de risico's en mogelijke negatieve gevolgen voor landen buiten Europa belicht. Het rapport brengt de wereldwijde afhankelijkheid van Amerikaanse cloudproviders in kaart, identificeert regio's met een hoge en lage afhankelijkheid en analyseert vergelijkend de strategieën die verschillende landen volgen om de uitdagingen van de CLOUD Act aan te pakken.

De structuur van dit artikel volgt dit doel: Na deze inleiding wordt in het tweede hoofdstuk de kernbepalingen en de extraterritoriale reikwijdte van de CLOUD Act gedetailleerd uitgelegd. Het derde hoofdstuk behandelt het conflict tussen de CLOUD Act, de AVG en de Europese gegevenssoevereiniteit. Hoofdstuk vier onderzoekt de wereldwijde risico's en implicaties buiten Europa. Het vijfde hoofdstuk brengt de wereldwijde afhankelijkheid van Amerikaanse cloudproviders in kaart, terwijl het zesde hoofdstuk nationale strategieën en reacties op de CLOUD Act vergelijkt. Een samenvatting van de bevindingen en een conclusie vormen het zevende hoofdstuk, gevolgd door aanbevelingen voor actie in het achtste hoofdstuk.

De Amerikaanse CLOUD Act: Kernbepalingen en extraterritoriale reikwijdte

De Clarifying Lawful Overseas Use of Data (CLOUD) Act is een belangrijke wetgeving met betrekking tot grensoverschrijdende toegang tot gegevens door Amerikaanse autoriteiten. Om de implicaties ervan volledig te begrijpen, is een nauwkeurige analyse van de juridische basis, de werking en met name de extraterritoriale claims essentieel.

Juridische basis en functionaliteit

De CLOUD Act werd op 23 maart 2018 aangenomen als onderdeel van een alomvattend begrotingsvoorstel (Consolidated Appropriations Act, 2018, Public Law 115-141, Division V) en trad onmiddellijk in werking. De wet creëert geen volledig nieuw wettelijk kader, maar wijzigt voornamelijk bestaande wetten, met name de Stored Communications Act (SCA) van 1986, die deel uitmaakt van de Electronic Communications Privacy Act (ECPA). De SCA regelt de voorwaarden waaronder Amerikaanse overheidsinstanties toegang mogen krijgen tot opgeslagen elektronische communicatiegegevens die door dienstverleners worden beheerd.

De kern van de CLOUD Act, vastgelegd in onder andere 18 U.S.C. §§ 2713 en 2523, verplicht aanbieders van elektronische communicatiediensten (ECS) en diensten voor computergebruik op afstand (RCS) die onder de jurisdictie van de VS vallen, om te voldoen aan bevelen tot het beveiligen, back-uppen of openbaar maken van de inhoud van elektronische communicatie, evenals metadata of andere informatie over klanten of abonnees. Deze verplichting geldt voor gegevens die in het bezit, de bewaring of onder de controle van de aanbieder zijn. De jurisdictie van de VS kan zich ook uitstrekken tot aanbieders waarvan de hoofdvestiging zich niet in de VS bevindt, maar die een voldoende band met de Verenigde Staten hebben, bijvoorbeeld via zakelijke relaties, een Amerikaans filiaal of contracten met Amerikaanse klanten.

De cruciale verduidelijking van de CLOUD Act is dat deze verplichting tot openbaarmaking van gegevens geldt ongeacht of de betreffende gegevens zich binnen of buiten de Verenigde Staten bevinden (“ongeacht of dergelijke communicatie, gegevens of andere informatie zich binnen of buiten de Verenigde Staten bevindt”).

De aanleiding voor deze wetgeving was voornamelijk het juridische geschil tussen de Verenigde Staten en Microsoft Corp. (vaak aangeduid als de "Microsoft Ireland-zaak"). In deze zaak weigerde Microsoft de e-mails van een klant, die op een server in Ierland waren opgeslagen, aan de FBI te overhandigen. Microsoft voerde aan dat Amerikaanse bevelen geen extraterritoriale werking hadden en dat de Security Compliance Agreement (SCA) niet van toepassing was op gegevens buiten de VS. De zaak bereikte het Hooggerechtshof, maar werd irrelevant door de aanname van de CLOUD Act, die de juridische kwestie in het voordeel van de overheid besliste.

Het is belangrijk te benadrukken dat de CLOUD Act, volgens de Amerikaanse overheid en ondersteunende organisaties, geen vrijbrief vormt voor massale surveillance of willekeurige toegang tot gegevens. Toegangsbevelen (doorgaans bevelen op basis van "waarschijnlijke oorzaak" of dagvaardingen) moeten nog steeds voldoen aan de rechtsstaatvereisten van de Amerikaanse wetgeving, specifiek zijn en onderworpen zijn aan rechterlijke toetsing. Ze zijn beperkt tot gegevens die relevant kunnen zijn in verband met specifieke strafrechtelijke onderzoeken ("ernstige misdrijven, waaronder terrorisme"). Bovendien legt de CLOUD Act providers expliciet geen verplichting op om gegevens te decoderen als zij deze alleen in versleutelde vorm bezitten en de sleutels niet beheren.

Extraterritoriale toepassing en aanspraak op jurisdictie

De belangrijkste en meest controversiële vernieuwing van de CLOUD Act is de juridische verankering van de extraterritoriale reikwijdte van Amerikaanse toegangsbevelen. De wet verduidelijkt dat de verplichting tot het overhandigen van gegevens geldt voor aanbieders die onder Amerikaanse jurisdictie vallen, ongeacht de fysieke locatie waar de gegevens zijn opgeslagen.

Dit standpunt is gebaseerd op het gevestigde rechtsbeginsel dat een staat bedrijven onder zijn jurisdictie kan verplichten informatie onder zijn controle openbaar te maken, zelfs als die informatie in het buitenland is opgeslagen. De CLOUD Act codificeert dit beginsel specifiek voor elektronische communicatiegegevens in de context van de SCA.

Deze zeer eenzijdige aanspraak op toegang tot extraterritoriale gebieden is de belangrijkste bron van internationale bezorgdheid en juridische conflicten, met name in relatie tot de Europese Unie en haar Algemene Verordening Gegevensbescherming (AVG). Het wordt gezien als een inbreuk op de soevereiniteit van andere staten en als een mogelijke omzeiling van gevestigde internationale procedures voor rechtshulp.

Uitvoerende overeenkomsten als alternatief voor verdragen inzake wederzijdse rechtshulp

Naast het verduidelijken van de extraterritoriale reikwijdte van Amerikaanse bevelen, introduceert de CLOUD Act een tweede belangrijk mechanisme: het machtigt de Amerikaanse uitvoerende macht (de president of de regering) om bilaterale overeenkomsten, zogenaamde "Executive Agreements", te sluiten met "gekwalificeerde" buitenlandse regeringen.

Het verklaarde doel van deze overeenkomsten is het versnellen en stroomlijnen van grensoverschrijdende toegang tot gegevens ten behoeve van de vervolging van ernstige misdrijven (waaronder terrorisme). Ze zijn bedoeld als alternatief voor, of aanvulling op, traditionele verdragen inzake wederzijdse rechtshulp (MLAT's), waarvan de procedures vaak worden bekritiseerd omdat ze te traag en bureaucratisch zijn om gelijke tred te houden met de snelheid van digitale criminaliteit.

Het kernmechanisme van deze uitvoerende overeenkomsten is het wegnemen van juridische belemmeringen ("conflicten van wetgeving" of "juridische beperkingen") die aanbieders ervan zouden kunnen weerhouden te voldoen aan wettelijke bevelen van het partnerland. Concreet zou een dergelijke overeenkomst het bijvoorbeeld mogelijk maken dat een Amerikaanse aanbieder rechtstreeks voldoet aan een bevel van het Verenigd Koninkrijk zonder de Amerikaanse wetgeving te overtreden (bijvoorbeeld de beperkingen van de SCA op openbaarmaking), en omgekeerd. De autoriteiten van elk land zouden zo hun eigen nationale procedures kunnen gebruiken om gegevens op te vragen bij de aanbieder in het andere land.

De VS kunnen dergelijke overeenkomsten alleen sluiten met staten die als "gekwalificeerd" worden beschouwd. Dit vereist een certificering door de Amerikaanse procureur-generaal en de minister van Buitenlandse Zaken aan het Congres dat het betreffende partnerland robuuste inhoudelijke en procedurele waarborgen voor privacy en burgerlijke vrijheden heeft en deze in de praktijk toepast. Het partnerland moet de rechtsstaat, non-discriminatie en gegevensbescherming respecteren.

Tot nu toe hebben de VS dergelijke uitvoerende overeenkomsten gesloten met het Verenigd Koninkrijk (ondertekend in 2019, van kracht sinds oktober 2022) en Australië (ondertekend in december 2021). Onderhandelingen met de Europese Unie werden in 2019 aangekondigd en zijn nog gaande, maar blijken lastig vanwege de complexe juridische situatie (AVG, Schrems II) en de betrokkenheid van 27 lidstaten.

De CLOUD Act zelf bevat belangrijke waarborgen voor deze overeenkomsten: bevelen die op grond van een dergelijke overeenkomst worden uitgevaardigd, mogen niet gericht zijn op personen met de Amerikaanse nationaliteit (burgers of permanente inwoners) of personen die in de VS wonen. Ze moeten specifiek zijn (bijvoorbeeld gericht op een bepaalde persoon of rekening) en onderworpen zijn aan onafhankelijke toetsing of toezicht (bijvoorbeeld door een rechtbank).

Juridische mogelijkheden voor aanbieders

De CLOUD Act biedt providers expliciet een mechanisme waarmee ze onder bepaalde voorwaarden Amerikaanse toegangsbevelen juridisch kunnen aanvechten (een zogenaamd "verzoek tot nietigverklaring of wijziging"). Dit recht bestaat als de provider "redelijkerwijs van mening is" dat aan twee cumulatieve voorwaarden is voldaan:

• De betreffende klant of abonnee is geen Amerikaans staatsburger en woont niet in de Verenigde Staten.
• De vereiste openbaarmaking zou een "materieel risico" met zich meebrengen dat de aanbieder de wetten van een "gekwalificeerde buitenlandse overheid" zou overtreden. Een "gekwalificeerde buitenlandse overheid" is een overheid waarmee de VS een uitvoerend akkoord heeft gesloten op grond van de CLOUD Act.

Als de zorgverlener een dergelijk beroep instelt, kan de bevoegde Amerikaanse rechtbank het bevel wijzigen of intrekken. Dit gebeurt echter alleen als de rechtbank vaststelt dat (a) openbaarmaking daadwerkelijk in strijd zou zijn met de wetgeving van de betreffende buitenlandse staat, (b) het toewijzen van het beroep in het belang van de rechtvaardigheid is, en (c) het belang van de rechtvaardigheid dit vereist, gelet op alle omstandigheden.

Om te beoordelen wat de "belangen van de rechtspraak" vereisen, somt de wet specifieke factoren op die de rechter moet afwegen ("compassieanalyse"). Deze omvatten onder meer: ​​de belangen van de VS en de buitenlandse overheid, de waarschijnlijkheid en aard van de sancties die de informatieverstrekker in het buitenland zou kunnen krijgen, de banden van de betrokkene en de informatieverstrekker met de VS en het buitenland, het belang van de informatie voor het onderzoek en de beschikbaarheid van alternatieve manieren om de informatie te verkrijgen.

Deze wettelijke bepaling roept echter vragen op over de praktische effectiviteit ervan. Door de expliciete grondslag voor bezwaar te richten op juridische conflicten met gekwalificeerde buitenlandse overheden (dat wil zeggen, overheden met een uitvoerende overeenkomst) zou de positie van aanbieders die zich willen beroepen op de wetgeving van landen zonder een dergelijke overeenkomst, zoals de AVG van de EU in haar huidige vorm zonder een EU-VS-overeenkomst, kunnen worden verzwakt. Hoewel de mogelijkheid blijft bestaan ​​om een ​​beroep te doen op algemene beginselen van internationale hoffelijkheid en wederzijds respect binnen het common law, is het specifieke juridische mechanisme beperkter. Dit zou Amerikaanse rechtbanken ertoe kunnen verleiden minder gewicht toe te kennen aan conflicten met de wetgeving van staten die geen overeenkomst hebben gesloten, of de bezwaarprocedure als minder duidelijk omschreven te beschouwen.

Bovendien is de praktische relevantie van de beroepsmogelijkheid over het algemeen beperkt. De bewijslast ligt bij de aanbieder, die moet aantonen dat hij redelijkerwijs van mening is dat aan de voorwaarden is voldaan. Zelfs als er sprake is van een conflict tussen rechtsstelsels, kan de rechter de beschikking vernietigen, maar is hij daartoe niet verplicht. De beslissing is gebaseerd op een afweging van vage juridische begrippen zoals "het belang van de rechtspraak" en "de totaliteit van de omstandigheden", wat de rechter een ruime discretionaire bevoegdheid geeft. Er bestaat een risico dat Amerikaanse belangen, met name op het gebied van rechtshandhaving of veiligheid, systematisch zwaarder wegen dan buitenlandse belangen op het gebied van gegevensbescherming, vooral als er geen bilaterale overeenkomst bestaat die deze belangen formeel erkent. Het Europees Comité voor gegevensbescherming (EDPB) staat daarom sceptisch tegenover dit mechanisme en benadrukt dat het slechts een mogelijkheid tot beroep biedt, geen verplichting, en dus onvoldoende bescherming biedt voor de rechten van EU-burgers.

Geschikt hiervoor:

• De digitale afhankelijkheid van Europa van de VS: dominantie van de cloud, verstoorde handelsbalansen en lock-in-effecten

Conflictgebied: CLOUD Act versus EU-AVG en gegevenssoevereiniteit

De extraterritoriale reikwijdte van de Amerikaanse CLOUD Act en de daarmee samenhangende toegangsbevoegdheden voor Amerikaanse autoriteiten leiden tot aanzienlijke spanningen en directe juridische conflicten met het gegevensbeschermingsregime van de Europese Unie, met name de Algemene Verordening Gegevensbescherming (AVG). Deze conflicten raken kernprincipes van het EU-gegevensbeschermingsrecht en roepen fundamentele vragen op over datasoevereiniteit.

Rechtstreeks conflict met de AVG (Art. 6, Art. 48)

Het fundamentele conflict vloeit voort uit het feit dat de CLOUD Act de Amerikaanse autoriteiten toestaat de overdracht van gegevens – waaronder persoonsgegevens van EU-burgers – van de EU naar de VS te bevelen, zonder dat dit bevel noodzakelijkerwijs gebaseerd hoeft te zijn op een van de wettelijke grondslagen voor gegevensverwerking of internationale gegevensoverdracht zoals vastgelegd in de AVG.

Het conflict met artikel 48 van de AVG ('Overdrachten of openbaarmakingen die niet zijn toegestaan ​​op grond van het recht van de Unie') is bijzonder relevant. Dit artikel bepaalt dat beslissingen van rechtbanken of administratieve autoriteiten van een derde land die een verwerkingsverantwoordelijke of verwerker verplichten tot de overdracht of openbaarmaking van persoonsgegevens, alleen erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst – zoals een verdrag inzake wederzijdse rechtshulp (MLAT) – die van kracht is tussen het verzoekende derde land (in dit geval de VS) en de Unie of een lidstaat. Een bevel dat uitsluitend gebaseerd is op de CLOUD Act, zonder dat het wordt gelegitimeerd door een dergelijke internationale overeenkomst, voldoet niet aan deze voorwaarde. Vanuit het perspectief van de AVG vormt het geen geldige rechtsgrondslag voor de overdracht.

Bovendien ontbreekt voor een dergelijke overdracht een geldige rechtsgrondslag op grond van artikel 6 van de AVG, waarin de voorwaarden voor de rechtmatigheid van de verwerking (inclusief overdracht) van persoonsgegevens zijn vastgelegd. Het Europees Comité voor gegevensbescherming (EDPB) en de Europese Toezichthouder voor gegevensbescherming (EDPS) hebben in hun gezamenlijke beoordeling verduidelijkt dat de gebruikelijke rechtsgrondslagen hier niet van toepassing zijn

• Artikel 6(1)(c) AVG (naleving van een wettelijke verplichting): Deze rechtsgrondslag is niet van toepassing omdat de “wettelijke verplichting” voortvloeit uit de CLOUD Act, dat wil zeggen uit het recht van een derde land, en niet uit het recht van de Unie of het recht van een lidstaat, zoals vereist in artikel 6(3) AVG. Een uitzondering zou alleen bestaan ​​als het Amerikaanse bevel in het EU-recht zou zijn opgenomen door middel van een multilaterale administratieve verordening inzake de bescherming van persoonsgegevens (MLAT).
• Artikel 6(1)(e) AVG (uitvoering van een taak van algemeen belang): Ook deze rechtsgrondslag is uitgesloten, aangezien de taak (in dit geval de naleving van het Amerikaanse bevel) niet is gedefinieerd in het recht van de Unie of in het recht van een lidstaat.
• Artikel 6(1)(f) AVG (legitieme belangen): Hoewel een aanbieder een legitiem belang kan hebben bij het naleven van een bevel op grond van de CLOUD Act om sancties op grond van de Amerikaanse wetgeving te voorkomen, is het Europees Comité voor gegevensbescherming (EDPB) van mening dat dit belang doorgaans niet opweegt tegen de belangen of fundamentele rechten en vrijheden van de betrokkenen (bescherming van hun gegevens). De autoriteiten stellen dat de betrokkenen anders hun bescherming op grond van het Handvest van de grondrechten van de EU zouden kunnen verliezen (in het bijzonder het recht op een effectief rechtsmiddel, artikel 47).
• Artikel 6(1)(d) AVG (bescherming van vitale belangen): Deze rechtsgrondslag zou theoretisch van toepassing kunnen zijn in zeer beperkt omschreven uitzonderlijke gevallen, bijvoorbeeld wanneer de gegevens nodig zijn om een ​​onmiddellijk gevaar voor het leven of de gezondheid van een persoon af te wenden. Het biedt echter geen basis voor routinematige openbaarmaking van gegevens in het kader van rechtshandhavingsmaatregelen.

Deze botsing van rechtsnormen creëert een onoplosbaar conflict voor aanbieders die zowel onder de Amerikaanse jurisdictie (en dus de CLOUD Act) als onder de EU-wetgeving (AVG) vallen. Als ze voldoen aan een bevel uit de CLOUD Act zonder een MLAT-grondslag, overtreden ze de AVG en riskeren ze aanzienlijke boetes (tot 4% van hun wereldwijde jaaromzet) en civiele rechtszaken. Als ze weigeren gegevens te verstrekken onder verwijzing naar de AVG, riskeren ze sancties op grond van de Amerikaanse wetgeving.

Beoordeling door de EDSA/EDPS en juridische onzekerheid

De Europese gegevensbeschermingsautoriteiten, gecoördineerd binnen het EDPB en de EDPS, hebben een duidelijk standpunt ingenomen in dit conflict. In hun gezamenlijke juridische beoordeling van juli 2019 concludeerden zij dat de CLOUD Act als zodanig geen voldoende rechtsgrondslag vormt onder de AVG voor de overdracht van persoonsgegevens naar de VS.

Zij benadrukken nadrukkelijk dat aanbieders die onder het EU-recht vallen, geen persoonsgegevens aan Amerikaanse autoriteiten mogen overdragen uitsluitend op basis van een rechtstreeks bevel krachtens de CLOUD Act. Een dergelijke overdracht is alleen toegestaan ​​indien deze gebaseerd is op een erkende internationale overeenkomst, doorgaans het EU-VS-verdrag inzake rechtsbescherming of een bilateraal verdrag tussen een lidstaat en de VS. Het verdragsproces waarborgt de noodzakelijke rechtsstaatgaranties en de betrokkenheid van de gerechtelijke autoriteiten van de aangezochte staat.

De mogelijkheid die de CLOUD Act biedt aan aanbieders om een ​​beschikking aan te vechten ("verzoek tot nietigverklaring") wordt door het Europees Comité voor gegevensbescherming (EDPB) als onvoldoende waarborg beschouwd. Zij wijzen erop dat dit slechts een optie is voor de aanbieder, geen verplichting, en dat de uitkomst van dergelijke procedures voor een Amerikaanse rechtbank onzeker is en geen garantie biedt voor de bescherming van de rechten van EU-burgers volgens de EU-normen.

Dit duidelijke standpunt van de relevante Europese gegevensbeschermingsautoriteiten vergroot de juridische onzekerheid voor bedrijven die Amerikaanse clouddiensten gebruiken of aanbieden. Zij moeten zich ervan bewust zijn dat het gebruik van dergelijke diensten mogelijk niet in overeenstemming is met de AVG als de aanbieder niet kan garanderen dat hij geen gegevens openbaar maakt in strijd met de AVG op basis van een bevel uit de Cloud Act.

Implicaties van Schrems II en de Amerikaanse wetgeving inzake surveillance

De problemen met de CLOUD Act moeten worden gezien in de context van het bredere debat over gegevensoverdracht naar de VS en de daar geldende surveillancewetgeving, dat een nieuwe dimensie heeft gekregen door de Schrems II-uitspraak van het Europees Hof van Justitie van 16 juli 2020.

In deze uitspraak heeft het Europees Hof van Justitie (EHJ) de EU-VS Privacy Shield-overeenkomst ongeldig verklaard. De voornaamste reden hiervoor waren de verregaande bevoegdheden van de Amerikaanse inlichtingendiensten (met name op grond van artikel 702 van de Foreign Intelligence Surveillance Act – FISA – en Executive Order 12333) om toegang te krijgen tot persoonsgegevens van EU-burgers die naar de VS zijn overgebracht. Het EHJ oordeelde dat deze toegangsrechten niet voldeden aan de vereisten van noodzakelijkheid en proportionaliteit van het Handvest van de grondrechten van de EU en dat EU-burgers in de VS geen effectieve rechtsbescherming genoten tegen dergelijke toegang.

Hoewel de CLOUD Act formeel een instrument voor rechtshandhaving is en niet voor inlichtingenbewaking, versterkt deze de zorgen die door Schrems II zijn geuit. De wet creëert een nieuw juridisch mechanisme voor extraterritoriale toegang tot gegevens door Amerikaanse autoriteiten. Vanuit Europees perspectief ontbreekt het dit mechanisme ook aan de noodzakelijke rechtsstaat in het EU-recht (artikel 48 AVG), tenzij het gebaseerd is op een multilateraal akkoord inzake gegevensbescherming (MLAT) of een toekomstig akkoord dat adequaat wordt geacht. De combinatie van toegangsrechten uit surveillancewetgeving (FISA 702, EO 12333) en de CLOUD Act (rechtshandhaving) schetst een beeld van verregaande toegang van de Amerikaanse overheid tot gegevens die wereldwijd door Amerikaanse aanbieders worden opgeslagen.

Dit heeft directe gevolgen voor het gebruik van andere overdrachtsmechanismen, zoals standaardcontractbepalingen (SCC's). De Schrems II-uitspraak verplicht data-exporteurs, wanneer zij SCC's gebruiken voor overdrachten naar derde landen zoals de VS, om per geval te beoordelen of de wetgeving en praktijken van het bestemmingsland een beschermingsniveau garanderen dat "substantieel gelijkwaardig" is aan het niveau dat in de EU wordt gegarandeerd. Zo niet, dan moeten aanvullende maatregelen worden genomen om eventuele lacunes in de bescherming te dichten. Het bestaan ​​van wetten zoals FISA Sectie 702 en de CLOUD Act maakt het voor bedrijven uiterst moeilijk om aan te tonen dat de Amerikaanse wetgeving een dergelijk gelijkwaardig beschermingsniveau biedt. Dit bemoeilijkt het wettelijk conforme gebruik van Amerikaanse clouddiensten voor de verwerking van persoonsgegevens uit de EU aanzienlijk. De CLOUD Act versterkt het probleem van Schrems II, omdat deze het scala aan wettelijke toegangsmogelijkheden tot de VS uitbreidt en het argument voor een "substantiële gelijkwaardigheid" van het beschermingsniveau verder ondermijnt.

Uitholling van de Europese gegevenssoevereiniteit en verlies van vertrouwen

Naast de puur juridische conflicten wordt de CLOUD Act algemeen beschouwd als een bedreiging voor de digitale soevereiniteit van Europa. Datasoevereiniteit verwijst naar het recht en de mogelijkheid van staten, organisaties of individuen om controle uit te oefenen over hun data, met name over waar deze worden opgeslagen, hoe ze worden verwerkt en wie er toegang toe heeft. De CLOUD Act ondermijnt dit principe door een buitenlandse mogendheid (de VS) potentieel eenzijdige toegang te geven tot data die op Europees grondgebied zijn opgeslagen of afkomstig zijn van Europese burgers en bedrijven, op voorwaarde dat deze data worden beheerd door een aanbieder onder Amerikaanse jurisdictie.

De mogelijkheid van dergelijke toegang, die potentieel kan plaatsvinden zonder naleving van Europese procedures (zoals MLAT's) en zonder medeweten of kennisgeving aan de betrokken personen of bedrijven, leidt tot een aanzienlijk verlies aan vertrouwen in Amerikaanse technologieleveranciers. Dit wantrouwen betreft niet alleen de bescherming van persoonsgegevens zoals gedefinieerd in de AVG, maar strekt zich ook uit tot de beveiliging van gevoelige bedrijfsgegevens, zoals handelsgeheimen, onderzoeks- en ontwikkelingsgegevens, financiële informatie en intellectueel eigendom. De angst voor industriële spionage of het onbedoeld lekken van concurrentiegevoelige informatie via toegang door de overheid is een belangrijke factor die bedrijven ertoe aanzet alternatieven voor Amerikaanse leveranciers te zoeken of aanvullende beveiligingsmaatregelen te implementeren.

EU-reacties: Datawet en Gaia-X (status en uitdagingen)

Als reactie op de uitdagingen van digitalisering en de dominantie van niet-Europese technologieaanbieders heeft de Europese Unie verschillende initiatieven gelanceerd om de digitale soevereiniteit te versterken en een eigen Europese aanpak voor gegevensbeheer te definiëren. Twee belangrijke onderdelen hiervan zijn de Data Act en het Gaia-X-initiatief.

De EU-gegevenswet, die in december 2023 in het Officiële Journal is gepubliceerd en vanaf 12 september 2025 van toepassing is, heeft tot doel de eerlijkheid in de data-economie te vergroten en de toegang tot en het gebruik van data, met name industriële data, te verbeteren. De wet is bedoeld om innovatie te bevorderen en de beschikbaarheid van data te vergroten. Concreet geeft de gegevenswet gebruikers van verbonden producten (zoals IoT-apparaten en slimme machines) meer controle over de data die door deze apparaten worden gegenereerd en vergemakkelijkt de overstap tussen verschillende cloudproviders door bijvoorbeeld drempels voor het overstappen naar een andere provider weg te nemen en oneerlijke contractuele bepalingen te verbieden. Ook relevant in het kader van de CLOUD-wet zijn de bepalingen die waarborgen bieden tegen onrechtmatige verzoeken om gegevensoverdracht van autoriteiten uit derde landen, waarmee de datasoevereiniteit van de EU wordt versterkt.

Het Gaia-X-initiatief, dat in 2019 van start ging, streeft naar de ambitieuze doelstelling om een ​​gefedereerde, veilige en soevereine Europese data-infrastructuur te creëren. Gaia-X wil een ecosysteem opzetten waarin data gedeeld en verwerkt kunnen worden in overeenstemming met Europese waarden en standaarden – transparantie, openheid, veiligheid, interoperabiliteit en data-soevereiniteit. Het is bedoeld als alternatief voor de dominante hyperscalers en om de afhankelijkheid van niet-Europese aanbieders te verminderen.

Gaia-X bevindt zich echter nog in een vroege implementatiefase ("opstartfase") en staat voor aanzienlijke uitdagingen. Hoewel er al pilotprojecten en use cases bestaan, zoals Catena-X voor de auto-industrie en testomgevingen in partnerlanden zoals Japan, is een brede marktpenetratie nog niet bereikt. Obstakels zijn onder meer de technische complexiteit van de federatieve aanpak, het waarborgen van echte interoperabiliteit tussen verschillende aanbieders, governancekwesties binnen de Gaia-X Association (de implementerende organisatie) en een trage adoptie, met name in sterk gereguleerde sectoren zoals de gezondheidszorg. Bovendien is er kritiek geuit op het feit dat de oorspronkelijke visie van een puur Europese cloud is verwaterd door de deelname van grote Amerikaanse hyperscalers aan de Gaia-X Association, en dat het project te lijden heeft onder overmatige bureaucratie. Het lijkt momenteel onwaarschijnlijk dat Gaia-X direct kan concurreren met AWS, Azure en GCP. De betekenis ervan ligt mogelijk meer in het dienen als raamwerk voor standaarden en vertrouwen binnen specifieke Europese dataomgevingen.

Deze Europese initiatieven onthullen echter ook een strategische inconsistentie. Enerzijds zijn Gaia-X en de Data Act erop gericht de afhankelijkheid van Amerikaanse aanbieders te verminderen en de controle over data in Europa te versterken. Anderzijds onderhandelt de Europese Commissie tegelijkertijd met de VS over een uitvoeringsakkoord in het kader van de CLOUD Act. Een dergelijk akkoord zou, indien bereikt, directe toegang tot data door Amerikaanse autoriteiten onder bepaalde voorwaarden legaliseren en mogelijk vereenvoudigen – waarmee precies het mechanisme wordt geïnstitutionaliseerd dat oorspronkelijk aanleiding gaf tot zorgen over soevereiniteit. Dit weerspiegelt het dilemma van de EU: enerzijds digitale autonomie nastreven en anderzijds de noodzakelijke pragmatische samenwerking met de VS op het gebied van rechtshandhaving op een efficiënte basis tot stand brengen, zonder afbreuk te doen aan haar eigen hoge beginselen van gegevensbescherming (in het bijzonder de eisen van de Schrems II-uitspraak en artikel 48 van de AVG). Het oplossen van deze spanning is een cruciale uitdaging voor het toekomstige trans-Atlantische databeleid.

Integratie van een onafhankelijk en data-overkoepelend AI-platform voor alle zakelijke behoeften - Afbeelding: Xpert.Digital

Een gamechanger voor AI: het meest flexibele AI-platform - oplossingen op maat die kosten verlagen, uw besluitvorming verbeteren en de efficiëntie verhogen

Onafhankelijk AI-platform: integreert alle relevante bedrijfsgegevensbronnen

• Dit AI-platform communiceert met alle specifieke databronnen
  • Van SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox en vele andere systemen voor gegevensbeheer
• Snelle AI-integratie: op maat gemaakte AI-oplossingen voor bedrijven in uren of dagen, in plaats van maanden
• Flexibele infrastructuur: cloudgebaseerd of hosting in uw eigen datacenter (Duitsland, Europa, vrije locatiekeuze)

• Maximale gegevensbeveiliging: het gebruik ervan in advocatenkantoren is daar het onweerlegbare bewijs van
• Implementatie over een breed scala aan bedrijfsgegevensbronnen
• Keuze uit eigen of andere AI-modellen (DE, EU, VS, CN)

Uitdagingen die ons AI-platform oplost

• Onvoldoende geschiktheid van conventionele AI-oplossingen
• Gegevensbescherming en veilig beheer van gevoelige gegevens
• Hoge kosten en complexiteit van individuele AI-ontwikkeling
• Tekort aan gekwalificeerde AI-specialisten
• Integratie van AI in bestaande IT-systemen

Meer hierover hier:

• AI-integratie van een onafhankelijk en data-overkoepelend AI-platform voor alle zakelijke behoeften

Wereldwijde risico's en gevolgen buiten Europa

De problemen die de CLOUD Act aan de orde stelt, beperken zich niet tot de relatie tussen de VS en Europa. De wet kan verstrekkende gevolgen hebben voor landen en regio's wereldwijd, met name op het gebied van overheidstoezicht, economische spionage, conflicten met lokale wetgeving en het algemene vertrouwen in de wereldwijde digitale infrastructuur.

Staatstoezicht en burgerlijke vrijheden

De CLOUD Act heeft vanaf het begin kritiek gekregen van burgerrechtenorganisaties zoals de Electronic Frontier Foundation (EFF) en de American Civil Liberties Union (ACLU). Een belangrijk kritiekpunt is dat de wet mogelijk de waarborgen tegen ongepaste overheidszoekacties en -inbeslagname ondermijnt (zoals vastgelegd in het Vierde Amendement van de Amerikaanse Grondwet voor Amerikaanse burgers). Met name de mogelijkheid om via uitvoerende overeenkomsten bilaterale afspraken te maken, waardoor buitenlandse autoriteiten directe toegang zouden krijgen tot gegevens die in de VS worden bewaard en de gebruikelijke rechterlijke toetsing door Amerikaanse rechtbanken mogelijk zou worden omzeild, wordt als problematisch beschouwd. Bovendien hoeven personen die het onderwerp zijn van een gegevensverzoek op grond van de CLOUD Act niet per se op de hoogte te worden gesteld van de toegang, wat hun mogelijkheden tot juridische stappen beperkt.

Voor personen buiten de VS is de bescherming die de Amerikaanse grondwet biedt al minder uitgebreid. De CLOUD Act maakt het voor Amerikaanse autoriteiten gemakkelijker om toegang te krijgen tot hun gegevens die bij Amerikaanse providers zijn opgeslagen, ongeacht hun locatie. Dit voedt de wereldwijde angst voor een uitbreiding van de surveillance door de Amerikaanse overheid. Er bestaat de vrees dat het mechanisme van de CLOUD Act, met name de uitvoerende overeenkomsten, als model zou kunnen dienen voor andere landen, waaronder landen met een lagere rechtsstaat en een minder robuuste bescherming van burgerlijke vrijheden. Er is al een parallel getrokken met de Chinese Nationale Inlichtingenwet, die de Chinese autoriteiten ook verregaande toegang geeft tot bedrijfsgegevens. Dit zou de wereldwijde trend naar meer overheidssurveillance en controle over digitale communicatie kunnen versnellen.

Economische spionage en bescherming van intellectueel eigendom

De toegangsrechten die onder de CLOUD Act worden verleend, zijn niet beperkt tot de communicatie-inhoud of metadata van particulieren. Ze kunnen potentieel ook betrekking hebben op zeer gevoelige bedrijfsgegevens die zijn opgeslagen bij Amerikaanse cloudproviders. Dit omvat handelsgeheimen, financiële gegevens, klantdatabases, prototypes, onderzoeks- en ontwikkelingsgegevens en andere intellectuele eigendomsrechten (IE).

Hoewel het verklaarde doel van de CLOUD Act is om zware criminaliteit te bestrijden, bestaat de vrees dat de verregaande toegangsrechten ervan misbruikt zouden kunnen worden, bijvoorbeeld voor economische spionage ten behoeve van Amerikaanse bedrijven of om strategische economische voordelen te behalen. De loutere mogelijkheid van dergelijke toegang door een buitenlandse overheid ondermijnt het vertrouwen van bedrijven wereldwijd in de veiligheid en vertrouwelijkheid van hun cruciale gegevens wanneer deze bij Amerikaanse providers worden opgeslagen. Dit risico vormt een aanzienlijk nadeel voor veel bedrijven, met name in technologie-intensieve of beveiligingskritische sectoren, bij het gebruik van Amerikaanse clouddiensten.

Conflicten met lokale rechtssystemen

Net als de AVG van de EU kan het extraterritoriale toepassingsgebied van de CLOUD Act ook in conflict komen met de wetgeving inzake gegevensbescherming, geheimhoudingsverplichtingen of andere wettelijke bepalingen van tal van andere landen. Wereldwijd opererende cloudproviders, met name die met hun hoofdkantoor of een sterke aanwezigheid in de VS, kunnen daardoor te maken krijgen met een complex web van tegenstrijdige wettelijke verplichtingen.

Er zijn talloze voorbeelden van landen met eigen gegevensbeschermingsstelsels die mogelijk in strijd zijn met de CLOUD Act:

• Zwitserland: De herziene federale wet inzake gegevensbescherming (revFADP) is sterk gebaseerd op de AVG en bevat ook regels voor internationale gegevensoverdracht die adequate bescherming in het land van bestemming vereisen.
• Brazilië: De Lei Geral de Proteção de Dados Pessoais (LGPD) heeft ook een extraterritoriale werking en onderwerpt de verwerking van gegevens van Braziliaanse burgers aan strenge regels, ook voor internationale doorgiften.
• India: De Digital Personal Data Protection Act (DPDP Act, vaak nog steeds PDPB genoemd) bevat ook bepalingen over gegevensoverdracht en kan lokalisatievereisten opleggen voor bepaalde "kritieke" gegevens.
• China: De wet op de cyberbeveiliging (CSL) en de wet op de bescherming van persoonsgegevens (PIPL) stellen strenge regels vast voor gegevensbeveiliging en grensoverschrijdende overdracht en omvatten eisen met betrekking tot de lokalisatie van gegevens.
• Rusland: Federale wet nr. 152 "Over persoonsgegevens" verplicht de opslag van persoonsgegevens van Russische burgers op servers in Rusland (datalokalisatie).

Deze voorbeelden illustreren dat de CLOUD Act niet alleen een bilateraal probleem is tussen de VS en de EU, maar een wereldwijde uitdaging vormt voor de samenhang van internationale rechtssystemen in de digitale ruimte.

Impact op internationale gegevensoverdracht en vertrouwen in Amerikaanse technologieleveranciers

Het bestaan ​​van de CLOUD Act en de daarmee samenhangende onzekerheden en juridische geschillen hebben aanzienlijke gevolgen voor internationale mechanismen voor gegevensoverdracht en het algemene vertrouwen in Amerikaanse technologieleveranciers.

De wet draagt ​​bij aan de afname van het vertrouwen in gevestigde instrumenten voor trans-Atlantische gegevensoverdracht, zoals het voormalige EU-VS Privacy Shield of de momenteel veelgebruikte standaardcontractbepalingen (SCC's). Zoals uiteengezet in de context van Schrems II, maakt de CLOUD Act het moeilijker om aan te nemen dat de VS een niveau van bescherming van persoonsgegevens biedt dat "in wezen gelijkwaardig" is aan de EU-wetgeving.

Dit dwingt bedrijven wereldwijd ertoe de risico's van het gebruik van Amerikaanse clouddiensten zorgvuldiger te heroverwegen. Ze moeten onderzoeken of en hoe ze kunnen voldoen aan hun lokale wetgeving inzake gegevensbescherming bij het overdragen van gegevens aan of het laten verwerken ervan door Amerikaanse providers. Dit leidt steeds vaker tot het verkennen van alternatieve oplossingen, zoals het gebruik van lokale of regionale cloudproviders die niet onder de Amerikaanse jurisdictie vallen, of het implementeren van aanvullende technische en organisatorische beveiligingsmaatregelen (zoals end-to-end-encryptie met eigen sleutelbeheer, gegevenspseudonimisering of strikte gegevenslokalisatie voor bepaalde gegevenstypen).

De juridische onzekerheid die de CLOUD Act en soortgelijke wetten in andere landen creëren, en de daaruit voortvloeiende beschermingsmaatregelen, zouden ook een trend naar de "balkanisering" van het internet kunnen versterken. Dit verwijst naar de toenemende fragmentatie van de wereldwijde digitale ruimte langs nationale of regionale grenzen, gekenmerkt door strengere eisen voor datalokalisatie, verschillende technische standaarden en moeilijkere grensoverschrijdende gegevensstromen. De CLOUD Act fungeert als een belangrijke aanjager van deze wereldwijde trend naar meer digitale soevereiniteit. Door eenzijdig extraterritoriale toegang tot data vast te leggen en daarmee mogelijk de rechtssystemen van andere staten te overrulen, lokt de VS tegenmaatregelen uit. Deze manifesteren zich in de vorm van wetten voor datalokalisatie, overheidssteun voor lokale cloud-ecosystemen en de aanscherping van nationale regels voor internationale gegevensoverdracht. De CLOUD Act versnelt daarmee, wellicht onbedoeld, een ontwikkeling weg van een open, wereldwijd verbonden dataruimte naar meer nationaal of regionaal gecontroleerde digitale gebieden.

Geschikt hiervoor:

• Onafhankelijke AI -platforms als een strategisch alternatief voor Europese bedrijven

Het in kaart brengen van de wereldwijde afhankelijkheid van Amerikaanse cloudproviders

Om de reikwijdte van de CLOUD Act te kunnen inschatten, is inzicht in de wereldwijde marktaandelen en de daaruit voortvloeiende afhankelijkheid van de belangrijkste Amerikaanse cloudproviders – Amazon Web Services (AWS), Microsoft Azure en Google Cloud Platform (GCP) – essentieel. De marktdominantie van deze spelers bepaalt in belangrijke mate hoeveel bedrijven en organisaties wereldwijd mogelijk getroffen kunnen worden door verzoeken op grond van de CLOUD Act.

Marktaandelen van Amerikaanse hyperscalers (AWS, Azure, GCP)

Talrijke marktanalyses bevestigen de overweldigende dominantie van de drie grote Amerikaanse hyperscalers op de wereldmarkt voor cloudinfrastructuurdiensten (Infrastructure-as-a-Service, IaaS, en Platform-as-a-Service, PaaS). Samen beheersten AWS, Microsoft Azure en GCP respectievelijk ongeveer 66% tot 70% van de wereldwijde omzet in dit segment eind 2023 en begin 2025 (afhankelijk van de bron en de precieze marktdefinitie).

De geschatte marktaandelen voor het vierde kwartaal van 2024 kunnen als volgt worden samengevat (gebaseerd op gegevens uit verschillende bronnen; de exacte cijfers kunnen enigszins afwijken, maar de trend is consistent):

• Amazon Web Services (AWS): circa 30-33%. AWS blijft de onbetwiste marktleider, dankzij zijn pioniersrol in cloudcomputing heeft het bedrijf een constante voorsprong. De laatste jaren is er echter een lichte tendens tot stagnatie of zelfs een lichte daling van het marktaandeel te zien, terwijl de concurrentie een inhaalslag maakt.
• Microsoft Azure: circa 21-24%. Azure heeft zich gevestigd als een sterke nummer twee en groeit continu, vaak dankzij integratie met andere Microsoft-producten en een sterke positie in de zakelijke markt.
• Google Cloud Platform (GCP): circa 11-12%. GCP staat op de derde plaats en laat ook een aanzienlijke groei zien, zij het vanuit een kleinere basis. Google investeert fors in gebieden zoals AI en data-analyse om marktaandeel te winnen.

Naast deze drie giganten zijn er andere relevante spelers met aanzienlijk kleinere marktaandelen. Een voorbeeld hiervan is Alibaba Cloud, dat met een wereldwijd marktaandeel van ongeveer 4% een kleinere rol speelt, maar de cloudmarkt in China domineert. Andere aanbieders met een wereldwijde of regionale focus zijn onder meer IBM, Salesforce, Oracle, Tencent Cloud en Huawei Cloud (beide sterk in China), evenals gespecialiseerde aanbieders.

De volgende tabel geeft een overzicht van de geschatte wereldwijde marktaandelen van de belangrijkste aanbieders van cloudinfrastructuur (IaaS/PaaS) voor eind 2024 / begin 2025 en illustreert de dominantie van de Amerikaanse hyperscalers:

Geschatte wereldwijde marktaandelen in de cloud (IaaS/PaaS) in het vierde kwartaal van 2024/begin 2025

Geschatte wereldwijde marktaandelen in de cloud (IaaS/PaaS) in het vierde kwartaal van 2024/begin 2025 – Afbeelding: Xpert.Digital

Uit actuele gegevens over de wereldwijde IaaS/PaaS-cloudmarkt in het vierde kwartaal van 2024 en begin 2025 blijkt een duidelijke dominantie van Amerikaanse hyperscalers. AWS heeft het grootste marktaandeel met 30 tot 33 procent, met een stabiele tot licht dalende trend. Microsoft Azure volgt met 21 tot 24 procent en groeit verder. Google Cloud Platform (GCP) heeft een marktaandeel van 11 tot 12 procent met een positieve trend. De Chinese aanbieder Alibaba Cloud behoudt een stabiel wereldwijd marktaandeel van ongeveer 4 procent. De overige aanbieders, waaronder IBM, Oracle, Tencent en Huawei, delen samen 27 tot 34 procent van de markt met uiteenlopende groeitrends. De algehele positie van de Amerikaanse hyperscalers is opmerkelijk, aangezien zij gezamenlijk ongeveer 62 tot 69 procent van de wereldwijde cloudmarkt beheersen en een lichte groei laten zien.

Deze cijfers onderstrepen de aanzienlijke wereldwijde afhankelijkheid van de drie grote Amerikaanse aanbieders. Een groot deel van de wereldwijde cloudinfrastructuur valt daardoor mogelijk onder de jurisdictie van de CLOUD Act.

Regio's/landen met een hoge afhankelijkheid

De afhankelijkheid van Amerikaanse cloudproviders verschilt per regio, maar is in veel belangrijke economische regio's zeer groot:

• Noord-Amerika (met name de VS en Canada): Als thuisbasis van de hyperscalers en met de hoogste cloudpenetratie is de afhankelijkheid hier vanzelfsprekend het grootst. AWS heeft een bijzonder sterke marktpositie in de VS. Ook Canada investeert fors in cloud en AI, vaak via Amerikaanse platforms.
• Europa: Ondanks de zorgen over de AVG en de CLOUD Act blijft de afhankelijkheid van AWS, Azure en GCP in Europa extreem hoog. Hun gezamenlijke marktaandeel op het continent wordt geschat op meer dan 70%. Opvallend is dat Azure volgens één analyse in sommige Europese landen zelfs een voorsprong lijkt te hebben op AWS, zoals Nederland (naar verluidt 67% marktaandeel), Polen (49%) en Japan (49%). Grote Europese economieën zoals Duitsland, het Verenigd Koninkrijk en Frankrijk investeren fors in cloudtechnologieën en kunstmatige intelligentie, waarbij Amerikaanse platforms een centrale rol spelen. Deze discrepantie tussen de hoge marktafhankelijkheid en het politieke streven naar digitale soevereiniteit vormt een belangrijk spanningspunt.
• India: De Indiase cloudmarkt vertoont een sterke groei en is sterk afhankelijk van Amerikaanse aanbieders, met een marktstructuur die vergelijkbaar is met die in de VS: AWS is marktleider (ongeveer 52%), gevolgd door Azure (ongeveer 35%) en GCP (ongeveer 13%). Tegelijkertijd is er in India een sterke politieke wil tot digitalisering en een toenemende drang naar datalokalisatie, met name voor gevoelige gegevens zoals financiële gegevens. Dit zou de groei van lokale aanbieders op de lange termijn kunnen bevorderen.
• Latijns-Amerika: Het gebruik van cloudtechnologie groeit in landen als Brazilië, maar de markt wordt nog steeds sterk gedomineerd door wereldwijde spelers uit de VS. AWS breidt actief uit in de regio, bijvoorbeeld met een nieuwe regio in Mexico. Lokale wetgeving inzake gegevensbescherming, zoals de Braziliaanse LGPD, en specifieke vereisten voor datalokalisatie, bijvoorbeeld in de financiële sector, zouden de marktdynamiek kunnen beïnvloeden, maar hebben tot nu toe weinig veranderd aan de fundamentele afhankelijkheid.
• Australië: Als technologisch geavanceerd land met nauwe politieke en economische banden met de VS, kent Australië een hoge mate van cloudadoptie. Het bestaan ​​van een CLOUD Act Executive Agreement tussen de VS en Australië suggereert acceptatie van Amerikaanse toegangsmechanismen en duidt op een grote afhankelijkheid van Amerikaanse providers.
• Andere regio's (bijv. Afrika, delen van Zuidoost-Azië): Cloudmarkten zijn in veel opkomende en ontwikkelingslanden nog in ontwikkeling. Wereldwijde Amerikaanse aanbieders domineren hier vaak, vanwege hun schaalvoordelen en technologische voorsprong. Tegelijkertijd neemt in deze regio's de drang naar digitale soevereiniteit en datalokalisatie toe, zoals voorbeelden uit Vietnam en Indonesië laten zien.

Landen met een lagere afhankelijkheid en alternatieve ecosystemen (China, Rusland)

In tegenstelling tot de wijdverbreide afhankelijkheid van Amerikaanse hyperscalers, hebben zich grotendeels onafhankelijke digitale ecosystemen ontwikkeld, met name in China en Rusland, die worden gedomineerd door lokale aanbieders.

• China: De Chinese cloudmarkt is de op één na grootste ter wereld, maar is streng gereguleerd en moeilijk toegankelijk voor buitenlandse aanbieders. Binnenlandse technologiebedrijven domineren duidelijk: Alibaba Cloud heeft een marktaandeel van ongeveer 36%, gevolgd door Huawei Cloud met circa 19% en Tencent Cloud met ongeveer 15-16% (cijfers van het tweede/derde kwartaal van 2024). Amerikaanse aanbieders zoals AWS en Azure spelen slechts een kleine rol op de Chinese markt. Deze ontwikkeling wordt gedreven door strenge overheidsregulering, met name de Cybersecurity Law (CSL) en de Personal Information Protection Law (PIPL), die onder andere eisen stellen aan datalokalisatie en grensoverschrijdende datastromen streng controleren. China werkt ook aan een ambitieuze strategie voor kunstmatige intelligentie, die voortbouwt op de mogelijkheden van zijn binnenlandse cloudaanbieders.
• Rusland: Net als China, maar om andere redenen (met name westerse sancties en een actief overheidsbeleid ter bevordering van digitale soevereiniteit), heeft Rusland een groeiende ontkoppeling van westerse technologieleveranciers doorgemaakt. De Russische cloudmarkt wordt gedomineerd door lokale aanbieders, met name Yandex Cloud, maar ook aanbieders zoals SberCloud (mogelijk nu opererend onder een andere naam, bijvoorbeeld Cloud.ru), VK Cloud en het staatsbedrijf Rostelecom spelen een belangrijke rol. De Russische wetgeving inzake gegevensbescherming (Federale Wet nr. 152) schrijft strikte datalokalisatie voor van de persoonsgegevens van Russische burgers, wat het gebruik van buitenlandse clouddiensten bemoeilijkt en lokale aanbieders bevoordeelt. Yandex Cloud adverteert expliciet met de naleving van deze lokale wetgeving om internationale bedrijven aan te trekken die actief willen zijn op de Russische markt. Overheidsprogramma's zoals "Digitale Economie van de Russische Federatie" en het "GosTech"-platform stimuleren het gebruik van binnenlandse cloudoplossingen door overheidsinstanties en bedrijven verder.
• Europese Unie (Potentieel versus Realiteit): De EU bevindt zich in een unieke situatie. Enerzijds zijn er duidelijke politieke inspanningen om de afhankelijkheid van Amerikaanse aanbieders te verminderen en haar eigen digitale soevereiniteit te vestigen. Initiatieven zoals Gaia-X en wetgeving zoals de Data Act zijn hierop gericht. Er zijn ook een aantal Europese cloudproviders (bijv. OVHcloud, Deutsche Telekom/T-Systems, IONOS). Anderzijds is, zoals hierboven is aangetoond, de daadwerkelijke marktpenetratie van Amerikaanse hyperscalers in Europa extreem hoog. Europese alternatieven zijn er tot nu toe niet in geslaagd vergelijkbare marktaandelen te behalen, wat vaak wordt toegeschreven aan schaalvoordelen en de technologische volwassenheid van het Amerikaanse aanbod. De EU blijft dus een regio met een hoge mate van afhankelijkheid, gecombineerd met een sterke politieke wil tot verandering.

Deze voorbeelden laten zien dat minder afhankelijkheid van Amerikaanse hyperscalers mogelijk is, maar dit is meestal gebaseerd op een combinatie van strenge overheidsregulering, gerichte steun voor binnenlandse industrieën en, in sommige gevallen, politiek gemotiveerd marktprotectionisme.

Profiteer van de uitgebreide, vijfvoudige expertise van Xpert.Digital in een compleet servicepakket | R&D, XR, PR & Optimalisatie van digitale zichtbaarheid - Afbeelding: Xpert.Digital

Xpert.Digital beschikt over diepgaande kennis van diverse sectoren. Hierdoor kunnen we strategieën op maat ontwikkelen die precies aansluiten op de behoeften en uitdagingen van uw specifieke marktsegment. Door continu markttrends te analyseren en ontwikkelingen in de sector te volgen, kunnen we proactief handelen en innovatieve oplossingen bieden. De combinatie van ervaring en expertise genereert toegevoegde waarde en geeft onze klanten een doorslaggevend concurrentievoordeel.

Meer hierover hier:

• Profiteer van de 5 expertisegebieden van Xpert.Digital in één pakket – al vanaf €500 per maand

Nationale strategieën en reacties op de CLOUD Act

Gezien de uitdagingen die de Amerikaanse CLOUD Act met zich meebrengt voor gegevensbescherming, soevereiniteit en rechtszekerheid, hebben staten wereldwijd diverse strategieën ontwikkeld om de bijbehorende risico's te beheersen en hun belangen te beschermen. Deze strategieën variëren van regelgevende maatregelen en technologische benaderingen tot internationale onderhandelingen.

Vergelijking van nationale benaderingen

Er zijn verschillende basisbenaderingen te onderscheiden, die vaak gecombineerd worden:

• Datalokalisatie: Een van de meest directe reacties is de invoering van wetten die voorschrijven dat bepaalde soorten data – vaak persoonsgegevens of informatie die als cruciaal wordt beschouwd – fysiek binnen de nationale grenzen moeten worden opgeslagen en verwerkt. Bekende voorbeelden zijn Rusland met Federale Wet nr. 152, China met de vereisten onder de Cybersecuritywet en de PIPL, en in zekere mate India (met name voor betaalgegevens). Landen als Vietnam en Indonesië volgen ook soortgelijke benaderingen. De motieven zijn divers: versterking van de nationale soevereiniteit en controle over data, verbetering van de nationale veiligheid door de toegang door buitenlandse mogendheden te beperken, en ook economisch protectionisme om de binnenlandse IT-sector te bevorderen. Vanuit technologisch en economisch oogpunt is strikte datalokalisatie echter vaak inefficiënt, omdat het de voordelen van wereldwijd gedistribueerde cloudarchitecturen (zoals schaalbaarheid, redundantie en kostenefficiëntie) ondermijnt en leidt tot hogere kosten voor bedrijven. Het aantal landen met dergelijke beperkingen is de afgelopen jaren aanzienlijk toegenomen.
• Versterking van nationale regelgeving en internationale normen: Veel landen richten zich op het versterken van hun eigen wetgeving inzake gegevensbescherming om hoge beschermingsnormen vast te stellen en de voorwaarden voor internationale gegevensoverdracht duidelijk te reguleren. De EU is met de AVG een pionier op dit gebied. Andere landen hebben dit voorbeeld gevolgd of hun wetgeving gemoderniseerd, vaak gebaseerd op de AVG, zoals Zwitserland (herziening van de AVG), Brazilië (LGPD), het Verenigd Koninkrijk (VK AVG) en Canada (PIPEDA). Het doel is vaak om door de EU erkend te worden als een land met een "adequaat niveau van gegevensbescherming" om de gegevensstromen met Europa te vergemakkelijken. Tegelijkertijd dienen deze wetten ter bescherming van de rechten van hun eigen burgers en creëren ze een juridisch kader dat mogelijk kan worden ingeroepen in geval van conflict met wetten zoals de CLOUD Act.
• Het bevorderen van lokale/regionale aanbieders en ecosystemen: Een andere aanpak is het actief stimuleren van binnenlandse of regionale cloudproviders en digitale ecosystemen via industriebeleid. Dit moet alternatieven creëren voor de dominante Amerikaanse hyperscalers en de technologische afhankelijkheid verminderen. Het Gaia-X-initiatief van de EU is hiervan een voorbeeld, hoewel het succes tot nu toe beperkt is gebleven. In China en Rusland is deze aanpak, in combinatie met strenge regelgeving, succesvoller gebleken en heeft geleid tot markten die gedomineerd worden door lokale aanbieders. De uitdaging is echter dat lokale aanbieders vaak niet dezelfde schaalvoordelen, hetzelfde investeringsvolume of hetzelfde wereldwijde bereik kunnen bereiken als de Amerikaanse giganten.
• Gebruik van internationale overeenkomsten (uitvoerende overeenkomsten versus MLAT's): Staten kunnen proberen de toegang tot gegevens in de rechtshandhaving te reguleren via internationale overeenkomsten. De CLOUD Act zelf biedt hiervoor het mechanisme van uitvoerende overeenkomsten. Landen zoals het Verenigd Koninkrijk en Australië hebben voor deze weg gekozen en bilaterale overeenkomsten gesloten met de VS, die onder bepaalde voorwaarden versnelde, directe toegang tot gegevens mogelijk moeten maken. Deze overeenkomsten beloven efficiëntiewinst ten opzichte van de vaak trage traditionele procedures voor wederzijdse rechtshulp (MLAT's). Andere landen of regio's, zoals de EU, aarzelen echter om een ​​dergelijke overeenkomst te sluiten, deels vanwege zorgen over de compatibiliteit met hun eigen hoge normen voor gegevensbescherming (AVG, Schrems II). Zij blijven voornamelijk vertrouwen op de gevestigde MLAT-procedure, die voorziet in een grotere betrokkenheid van de gerechtelijke autoriteiten van de aangezochte staat, ook al wordt deze als inefficiënt beschouwd. De keuze tussen deze benaderingen is een afweging tussen efficiëntie in de rechtshandhaving en de bescherming van fundamentele rechten en soevereiniteit.
• Technische en organisatorische maatregelen (TOM's) door bedrijven: Ongeacht de overheidsstrategieën nemen bedrijven zelf maatregelen om de risico's van de CLOUD Act te beperken. Deze omvatten het gebruik van sterke encryptiemethoden, idealiter waarbij de klant de volledige controle heeft over de cryptografische sleutels (Bring Your Own Key – BYOK, Hold Your Own Key – HYOK), de zorgvuldige selectie van de opslaglocatie (bijv. datacenters binnen de EU), de implementatie van strikte toegangscontroles, het gebruik van pseudonimiserings- of anonimiseringstechnieken, samenwerking met lokale partners of systeemintegratoren die de gegevens namens de klant beheren, of de implementatie van hybride cloudarchitecturen waarbij bijzonder gevoelige gegevens in het eigen datacenter van het bedrijf blijven (on-premise).

Casestudies: EU, Zwitserland, Brazilië, China, Rusland

De toepassing van deze strategieën kan worden geïllustreerd aan de hand van specifieke landvoorbeelden:

• De EU hanteert een veelzijdige aanpak. Sterke regelgeving (AVG, Data Act) vormt de basis. Initiatieven zoals Gaia-X zijn gericht op het versterken van de soevereiniteit, maar stuiten op uitdagingen. Tegelijkertijd vinden er onderhandelingen plaats met de VS over een CLOUD Act-overeenkomst, wat de ambivalentie tussen de aanspraak op soevereiniteit en de noodzaak tot samenwerking benadrukt. De grote afhankelijkheid van Amerikaanse aanbieders blijft bestaan.
• Zwitserland: De Zwitserse wetgeving inzake gegevensbescherming (revFADP) sluit nauw aan bij de AVG en maakt gebruik van vergelijkbare mechanismen voor internationale gegevensoverdracht (adequaatheidsbesluiten, standaardcontractbepalingen). Naar aanleiding van Schrems II heeft Zwitserland een eigen overeenkomst met de VS gesloten (Zwitsers-Amerikaans raamwerk voor gegevensbescherming). Desondanks blijft het fundamentele risico van de CLOUD Act bestaan, aangezien Zwitserse bedrijven die gebruikmaken van Amerikaanse diensten mogelijk worden getroffen.
• Brazilië: Met de LGPD heeft het land een alomvattende wetgeving inzake gegevensbescherming met extraterritoriale werking gecreëerd en een onafhankelijke autoriteit voor gegevensbescherming (ANPD) opgericht. Er zijn specifieke regels voor internationale gegevensoverdracht en het gebruik van clouddiensten, met name in de gereguleerde financiële sector. De precieze interpretatie en handhaving, ook met betrekking tot conflicten met wetten zoals de CLOUD Act, zijn echter nog in ontwikkeling.
• China: Het land vertrouwt consequent op staatscontrole, strikte datalokalisatie en de bevordering van een gesloten binnenlandse markt die gedomineerd wordt door nationale marktleiders. Gegevensbescherming (in de zin van PIPL) dient eveneens staatscontrole en nationale veiligheid.
• Rusland: Volgt een vergelijkbare strategie van digitale soevereiniteit door middel van strikte datalokalisatie, het bevorderen van binnenlandse aanbieders en een toenemende technologische ontkoppeling van het Westen, versterkt door geopolitieke factoren.

Technische en organisatorische maatregelen van bedrijven

Voor bedrijven die gebruikmaken van Amerikaanse clouddiensten of wereldwijd actief zijn, is het implementeren van robuuste technische en organisatorische maatregelen cruciaal voor het minimaliseren van risico's. Deze omvatten:

• Transparantie en risicobeoordeling: Proactieve communicatie met klanten over jurisdictierisico's en het uitvoeren van grondige risicoanalyses (Data Transfer Impact Assessments – TIA's) om de gevoeligheid van de gegevens en de potentiële impact van toegang te beoordelen.
• Zorgvuldige leveranciersselectie: Onderzoek naar alternatieven voor Amerikaanse leveranciers, met name Europese of lokale leveranciers die niet onder de Amerikaanse jurisdictie vallen. Evaluatie van de nalevingsverplichtingen en beveiligingsarchitecturen van de leveranciers.
• Versleuteling en sleutelbeheer: Sterke versleuteling wordt gebruikt voor data, zowel in rust als tijdens transport. Controle over de cryptografische sleutels is cruciaal. Alleen als de klant de sleutels exclusief beheert (HYOK), kan hij effectief voorkomen dat de provider (en daarmee mogelijk de Amerikaanse autoriteiten) toegang krijgt. Oplossingen waarbij de provider de sleutels beheert (Bring Your Own Key – BYOK kan hier misleidend zijn) bieden geen volledige bescherming. Het is echter belangrijk om te weten dat data voor actieve verwerking in de cloud vaak onversleuteld in het geheugen moet worden opgeslagen, wat een potentieel toegangspunt vormt.
• Toegangscontrole en governance: Implementatie van strikte Identity and Access Management (IAM)-beleidsregels om de toegang tot gegevens tot een absoluut minimum te beperken. Onderzoek naar de mogelijkheden om toegang door personeel uit bepaalde rechtsgebieden (bijv. de VS) tot gegevens in andere regio's (bijv. de EU) te voorkomen door middel van technische en organisatorische maatregelen.
• Hybride en multi-cloudstrategieën: het migreren van bijzonder gevoelige data en workloads naar een private cloud of on-premises infrastructuur, terwijl minder kritieke applicaties in de publieke cloud blijven. Dit maakt gedifferentieerd risicobeheer mogelijk.
• Juridische structurering: In sommige gevallen kan het oprichten van juridisch gescheiden dochterondernemingen in verschillende rechtsgebieden worden beschouwd als een manier om de "controle" van het Amerikaanse moederbedrijf over gegevens in andere regio's te doorbreken. Dit is echter complex en vereist een zorgvuldige juridische structurering.
• Het beantwoorden van vragen: Het ontwikkelen van duidelijke interne procedures voor het afhandelen van vragen van autoriteiten. Dit omvat het controleren van de rechtmatigheid van de vraag en de bereidheid om bevelen aan te vechten als deze in strijd zijn met lokale wetgeving (bijv. AVG).

Het moet echter worden opgemerkt dat technische en organisatorische maatregelen hun beperkingen hebben. Zolang een bedrijf dat onder de Amerikaanse jurisdictie valt uiteindelijk de gegevens of de sleutels die nodig zijn voor decryptie in bezit, beheer of onder controle heeft, blijft het fundamentele juridische risico bestaan ​​dat het onder de CLOUD Act gedwongen wordt deze over te dragen. Zelfs sterke encryptie kan worden omzeild als de provider kan worden gedwongen de sleutels over te dragen of toegang heeft tot het beheerniveau. Een puur technische oplossing kan het juridische probleem van soevereiniteitsclaims niet volledig wegnemen.

De volgende tabel geeft een vergelijkend overzicht van de verschillende nationale strategieën:

Vergelijking van nationale strategieën voor het beperken van risico's in het kader van de CLOUD Act

Vergelijking van nationale strategieën voor het beperken van risico's in het kader van de CLOUD Act – Afbeelding: Xpert.Digital

Verschillende landen en regio's wereldwijd hebben uiteenlopende strategische benaderingen ontwikkeld om de risico's van de Amerikaanse CLOUD Act aan te pakken. De datalocalisatiestrategie, zoals toegepast in China, Rusland en delen van India en Vietnam, schrijft de strikte opslag van data in eigen land voor. Hoewel dit de nationale controle en soevereiniteit vergroot en de lokale industrie stimuleert, blijkt het vaak inefficiënt, kostbaar en belemmerend voor innovatie, en beperkt het de toegang tot wereldwijde diensten.

De EU met de AVG, Zwitserland met de FADP, Brazilië met de LGPD en het Verenigd Koninkrijk met de AVG richten zich daarentegen op het versterken van hun eigen regelgeving met hoge normen voor gegevensbescherming, duidelijke regels voor internationale gegevensoverdracht en sterke toezichthoudende autoriteiten. Deze strategie beschermt de rechten van burgers en creëert een juridisch kader voor geschillenbeslechting, maar lost het fundamentele jurisdictieconflict niet direct op en legt een zware last aan nalevingsvereisten op bedrijven.

Sommige regio's stimuleren actief lokale aanbieders en digitale ecosystemen, zoals de EU met het Gaia-X-project of China en Rusland met hun industriebeleid. Deze maatregelen verminderen de afhankelijkheid van buitenlandse aanbieders en versterken de technologische soevereiniteit, maar gaan vaak gepaard met een beperkte concurrentiepositie ten opzichte van grote internationale aanbieders en blijken tijdrovend en kostbaar te zijn.

Het Verenigd Koninkrijk en Australië hebben uitvoerende overeenkomsten met de VS gesloten in het kader van de CLOUD Act, terwijl de EU nog in onderhandeling is. Deze bilaterale overeenkomsten maken versnelde toegang tot gegevens mogelijk voor wetshandhavingsinstanties en bieden rechtszekerheid voor aanbieders, maar kunnen nationale normen voor gegevensbescherming omzeilen en de toegang van de VS tot gegevens legitimeren.

Veel landen houden zich impliciet aan het traditionele MLAT-proces (Verdrag inzake wederzijdse rechtshulp), dat gevestigde procedures voor rechtshulp biedt met sterkere waarborgen voor de rechtsstaat, maar dat als traag, bureaucratisch en ineffectief wordt beschouwd voor digitaal bewijsmateriaal.

Bedrijven wereldwijd implementeren ook technische en organisatorische maatregelen zoals encryptie met eigen sleutels, strikte toegangscontroles, hybride cloudoplossingen en uitgebreide risicoanalyses. Hoewel deze maatregelen risico's kunnen beperken en naleving kunnen aantonen, pakken ze vaak het fundamentele probleem van de jurisdictie niet aan en zijn ze complex en potentieel kostbaar om te implementeren.

Geschikt hiervoor:

• AI-integratie van een onafhankelijk en data-overkoepelend AI-platform voor alle zakelijke behoeften

Een problematische wet met verstrekkende gevolgen

De analyse van de Amerikaanse CLOUD Act en de wereldwijde impact ervan onthult een complex web van juridische conflicten, technologische afhankelijkheden, geopolitieke spanningen en strategische reacties. Hoewel de wet is ontworpen met het begrijpelijke doel van efficiëntere rechtshandhaving in het digitale tijdperk, blijkt de wet in haar huidige vorm zeer problematisch en brengt ze aanzienlijke risico's met zich mee voor individuen, bedrijven en staten wereldwijd.

Samenvatting van de kernproblemen van de CLOUD Act

De belangrijkste kritiekpunten en probleemgebieden kunnen als volgt worden samengevat:

• Conflict met nationale soevereiniteit en rechtssystemen: De expliciete extraterritoriale claim van de CLOUD Act, die Amerikaanse autoriteiten toegang geeft tot gegevens ongeacht de opslaglocatie, botst fundamenteel met het begrip soevereiniteit van andere staten en hun rechtssystemen. Dit wordt met name duidelijk in het conflict met de AVG van de EU, in het bijzonder artikel 48, dat de erkenning van buitenlandse overheidsbesluiten koppelt aan internationale overeenkomsten.
• Juridische onzekerheid en conflicten tussen wetten: Voor wereldwijd opererende bedrijven, met name cloudproviders, creëert de wetgeving aanzienlijke juridische onzekerheid. Zij worden geconfronteerd met potentieel tegenstrijdige wettelijke verplichtingen – enerzijds het Amerikaanse bevel tot openbaarmaking van gegevens, en anderzijds de wetgeving inzake gegevensbescherming of vertrouwelijkheid van het land waar de gegevens worden opgeslagen of waarvan de burgers worden betrokken. Dit leidt tot een dilemma met mogelijke sancties aan beide zijden.
• Erosie van vertrouwen: De CLOUD Act ondermijnt het vertrouwen in Amerikaanse technologieleveranciers aanzienlijk. De mogelijkheid dat Amerikaanse autoriteiten toegang krijgen tot gegevens door lokale procedures te omzeilen of zonder medeweten van de betrokkenen, voedt het wantrouwen ten aanzien van gegevensbeveiliging en vertrouwelijkheid. Dit geldt zowel voor persoonsgegevens als voor gevoelige bedrijfsgegevens en wordt versterkt door parallelle zorgen over Amerikaanse wetgeving inzake surveillance (de Schrems II-kwestie).
• Risico's die verder reiken dan de rechtshandhaving: Hoewel het verklaarde doel de bestrijding van zware criminaliteit is, bestaan ​​er zorgen over misbruik van toegangsrechten voor staatstoezicht of economische spionage. Deze risico's zijn moeilijk te beheersen en dragen bij aan een verlies aan vertrouwen.
• Het bevorderen van wereldwijde fragmentatie: De unilaterale aanpak van de CLOUD Act fungeert als katalysator voor wereldwijde fragmentatietrends in de digitale ruimte. Het lokt tegenreacties uit in de vorm van wetgeving inzake datalokalisatie en de bevordering van nationale digitale ecosystemen, wat een "balkanisering" van het internet aanmoedigt en de vrije wereldwijde datastroom belemmert.

Overzicht van het wereldwijde afhankelijkheidslandschap

Marktaandeelanalyse onthult een enorme wereldwijde afhankelijkheid van de drie grote Amerikaanse cloudhyperscalers: AWS, Microsoft Azure en GCP. Met name in Noord-Amerika en Europa beheersen zij meer dan twee derde van de markt voor cloudinfrastructuurdiensten. Deze hoge concentratie creëert een breed potentieel aanvalsoppervlak voor de CLOUD Act.

Daarentegen hebben landen als China en Rusland grotendeels onafhankelijke digitale ecosystemen opgebouwd door middel van strenge staatsregulering, de bevordering van binnenlandse aanbieders en marktprotectionisme. Zij laten zien dat minder afhankelijkheid mogelijk is, zij het vaak ten koste van beperkte wereldwijde connectiviteit en mogelijk minder keuzevrijheid.

De Europese Unie bevindt zich in een ambivalente positie: enerzijds is ze sterk afhankelijk van Amerikaanse aanbieders, anderzijds bestaat er een sterke politieke wil en zijn er concrete initiatieven (Gaia-X, Data Act) om de digitale soevereiniteit te versterken en alternatieven te bevorderen. Het succes van deze inspanningen blijft echter onzeker.

Vooruitzichten op toekomstige ontwikkelingen

De trends die zijn ingezet door de CLOUD Act en soortgelijke ontwikkelingen zullen zich naar verwachting voortzetten:

• Het aantal wetten inzake datalokalisatie zal naar verwachting toenemen, omdat steeds meer landen de controle over gegevens binnen hun eigen grondgebied proberen te behouden.
• De inspanningen om regionale of nationale cloudalternatieven te ontwikkelen zullen doorgaan, ook al blijft het lastig om te concurreren met gevestigde hyperscalers. Initiatieven zoals Gaia-X zouden kunnen uitgroeien tot standaardiseringskaders voor dataomgevingen.
• De VS zullen naar verwachting verdere uitvoerende overeenkomsten sluiten met strategische partners om de toegang tot gegevens te vergemakkelijken. De onderhandelingen met de EU blijven echter complex.
• Juridische geschillen rond internationale gegevensoverdracht, met name in het kader van Schrems II en de daaropvolgende regelgeving (zoals het EU-VS-kader voor gegevensbescherming), zullen blijven bestaan. De vraag naar een "adequaat beschermingsniveau" in de VS blijft een urgent probleem.
• Voor bedrijven wordt de ontwikkeling en implementatie van robuuste compliance-strategieën en technische oplossingen voor risicovermindering (encryptie, hybride modellen, enz.) steeds belangrijker om in deze complexe omgeving te kunnen opereren.

Concluderend moet worden erkend dat de CLOUD Act een reëel probleem aanpakt: de noodzaak voor wetshandhavingsinstanties om in het digitale tijdperk tijdig toegang te krijgen tot bewijsmateriaal dat over de grenzen heen is opgeslagen. Traditionele MLAT-procedures zijn vaak te traag en inefficiënt. Een duurzame oplossing moet echter een manier vinden om deze legitieme behoefte van de wetshandhaving te verzoenen met fundamentele rechten op gegevensbescherming en privacy, evenals de soevereiniteit van staten. De CLOUD Act slaagt er in zijn huidige vorm niet in om dit evenwicht te vinden, volgens veel internationale waarnemers en belanghebbenden. Het is een op de VS gerichte oplossing die onvoldoende rekening houdt met de zorgen en rechtssystemen van andere landen, waardoor er meer problemen ontstaan ​​dan dat ze worden opgelost. Een internationaal gecoördineerde oplossing gebaseerd op wederzijds respect voor rechtssystemen en sterke waarborgen voor fundamentele rechten blijft een dringende noodzaak.

Aanbevelingen voor actie

De analyse van de CLOUD Act en de wereldwijde impact ervan levert concrete aanbevelingen op voor Europese bedrijven en organisaties, alsook voor politieke besluitvormers.

Voor Europese bedrijven en organisaties:

• Het uitvoeren van uitgebreide risicoanalyses: Bedrijven moeten systematisch hun afhankelijkheid van Amerikaanse cloudproviders beoordelen. Dit omvat het classificeren van de verwerkte gegevens op basis van gevoeligheid en het analyseren van de potentiële risico's in geval van toegang tot de gegevens door Amerikaanse autoriteiten. Het uitvoeren van Data Transfer Impact Assessments (TIA's), zoals vereist in het kader van Schrems II, is essentieel.
• Zorgvuldige selectie van cloudproviders: Het is raadzaam om actief te kijken naar Europese of andere niet-Amerikaanse cloudproviders als alternatieven die niet onder de Amerikaanse jurisdictie vallen of onderworpen zijn aan minder strenge regelgeving. Providers moeten worden beoordeeld op basis van hun contractuele verplichtingen met betrekking tot verzoeken in het kader van de CLOUD Act, hun technische beveiligingsmaatregelen en hun compliance-certificeringen.
• Degelijke contractopzet: Contracten met cloudproviders moeten duidelijke bepalingen bevatten over gegevensverwerking, opslaglocaties, beveiligingsmaatregelen en de afhandeling van officiële verzoeken, in overeenstemming met artikel 28 van de AVG.
• Implementatie van robuuste technische maatregelen: Het gebruik van end-to-end-encryptie, waarbij de cryptografische sleutels uitsluitend onder controle van de klant blijven (Hold Your Own Key – HYOK), is een belangrijke beveiligingsmaatregel. Strikte toegangscontroles (identiteits- en toegangsbeheer) en, waar nodig, pseudonimiserings- of anonimiseringstechnieken moeten worden geïmplementeerd.
• Hybride of multi-cloudstrategieën toepassen: Voor bijzonder gevoelige gegevens kan het gebruik van private clouds of on-premises infrastructuren voordelig zijn, terwijl minder kritieke workloads in de publieke cloud kunnen blijven. Dit maakt gedifferentieerd risicobeheer mogelijk.
• Specifiek juridisch advies inwinnen: Gezien de complexe en voortdurend veranderende juridische situatie is het essentieel om gespecialiseerd juridisch advies in te winnen om specifieke risico's te beoordelen en een haalbare compliance-strategie te ontwikkelen.

Voor politieke besluitvormers (met name in de EU):

• Versterking van de Europese digitale soevereiniteit: Het consequent bevorderen van initiatieven zoals Gaia-X en het ondersteunen van de ontwikkeling van concurrerende Europese cloudproviders zijn noodzakelijk om echte technologische alternatieven te creëren en de afhankelijkheid te verminderen. De Datawet moet worden gebruikt om eerlijke marktvoorwaarden en controle over data te waarborgen.
• Een duidelijk standpunt in internationale onderhandelingen: Onderhandelingen over een mogelijke EU-VS CLOUD Act-uitvoeringsovereenkomst moeten ervoor zorgen dat de hoge Europese normen voor gegevensbescherming (AVG, Handvest van de grondrechten van de EU, bepalingen van Schrems II) volledig worden gehandhaafd. Dit omvat robuuste garanties voor de rechtsstaat, proportionaliteit, transparantie en effectieve rechtsbescherming voor betrokkenen. De prioriteit van bestaande procedures voor wederzijdse rechtshulp (MLAT's) of gelijkwaardige waarborgen moet worden vastgelegd.
• Bevordering van wereldwijde standaarden: De EU moet op internationaal niveau pleiten voor de ontwikkeling van geharmoniseerde regels en standaarden voor grensoverschrijdende gegevenstoegang door overheidsinstanties, gebaseerd op de rechtsstaat, respect voor fundamentele rechten en wederzijds respect tussen nationale rechtsstelsels.
• Voorlichting en ondersteuning voor bedrijven: Beleidsmakers en toezichthouders moeten bedrijven duidelijke richtlijnen en praktische ondersteuning bieden om hen te helpen risico's in te schatten en nalevingsmaatregelen te implementeren met betrekking tot de CLOUD Act en internationale gegevensoverdracht.

☑️ MKB -ondersteuning in strategie, advies, planning en implementatie

☑️ Opzetten of herzien van de AI-strategie

☑️ Pioneer Business Development

Konrad Wolfenstein

Ik help u graag als een persoonlijk consultant.

U kunt contact met mij opnemen door het onderstaande contactformulier in te vullen of u gewoon bellen op +49 89 674 804 (München) .

Ik kijk uit naar ons gezamenlijke project.

Xpert.Digital is een hub voor de industrie met een focus, digitalisering, werktuigbouwkunde, logistiek/intralogistiek en fotovoltaïsche.

Met onze 360 ​​° bedrijfsontwikkelingsoplossing ondersteunen we goed bekende bedrijven, van nieuwe bedrijven tot na verkoop.

Marktinformatie, smarketing, marketingautomatisering, contentontwikkeling, PR, e -mailcampagnes, gepersonaliseerde sociale media en lead koestering maken deel uit van onze digitale tools.

U kunt meer vinden op: www.xpert.Digital - www.xpert.solar - www.xpert.plus