Gegevensbeveiliging en digitale soevereiniteit in Europa: zijn de investeringen van Microsoft in Europese data veilig? – Afbeelding: Xpert.Digital
Waarom serverlocatie geen garantie biedt voor gegevensbeveiliging
Microsoft heeft onlangs aanzienlijke investeringen in Europa aangekondigd, waaronder het beveiligen van broncode in Zwitserland en de uitbreiding van de cloudinfrastructuur. Deze acties worden gezien als een reactie op politieke onzekerheden en groeiende zorgen onder Europese klanten. Ondanks deze inspanningen blijft er een fundamenteel conflict bestaan tussen de Amerikaanse wetgeving en de Europese regelgeving inzake gegevensbescherming, waardoor de vraag rijst of een Europese serverlocatie wel voldoende bescherming kan bieden. Dit rapport analyseert de garanties van Microsoft voor Europa, legt het juridische conflict tussen de Amerikaanse CLOUD Act en de AVG uit en onderzoekt waarom de fysieke locatie van data op zich geen garantie biedt voor gegevensbeveiliging en -soevereiniteit.
Geschikt hiervoor:
Update 21 juli 2025:
Microsofts nieuwe digitale garanties voor Europa
In het licht van de handelsoorlogen onder de regering-Trump en plotselinge politieke beslissingen hebben veel Europese klanten hun vertrouwen in Amerikaanse digitale producten verloren. Microsoft reageert hierop met concrete toezeggingen en investeringen in Europa.
Omvangrijke investeringen in infrastructuur
Microsoft heeft plannen aangekondigd om de capaciteit van zijn datacenters in Europa de komende twee jaar met ongeveer 40 procent uit te breiden, naar in totaal 16 Europese landen. Het bedrijf is van plan jaarlijks tientallen miljarden dollars in deze uitbreiding te investeren. Deze maatregelen zijn niet alleen bedoeld om te voldoen aan de groeiende vraag naar clouddiensten en AI-infrastructuur, maar ook om het vertrouwen van Europese klanten te versterken.
Brad Smith, algemeen raadman en president van Microsoft, benadrukt in zijn blogpost de nauwe economische banden van het bedrijf met Europa en verzekert lezers dat Microsoft zich niet uit de regio zal terugtrekken. De Europese datacenters zullen onafhankelijk opereren en beheerd worden door EU-burgers, met respect voor en toepassing van de Europese wetgeving.
Zwitserse back-up van broncode en bedrijfscontinuïteit
Een bijzonder opmerkelijke waarborg is de back-up van Microsofts broncode in Zwitserland. Het bedrijf maakt back-ups van zijn broncode in beveiligde datacenters in Zwitserland en verleent wettelijk bindende toegangsrechten aan Europese partners. Deze maatregel dient als noodplan voor het "onwaarschijnlijke geval" dat Microsoft ooit gedwongen zou worden zijn diensten in Europa stop te zetten.
Microsoft is ook van plan Europese partners te identificeren en noodplannen te implementeren om de bedrijfscontinuïteit te garanderen. Dit wordt al gedaan via partnerschappen in Frankrijk en Duitsland met de datacenters van Bleu en Delos.
De EU-datagrens: Microsofts antwoord op privacybezwaren
Een belangrijk onderdeel van Microsofts strategie in Europa is de implementatie van de zogenaamde "EU-datagrens" voor de Microsoft Cloud.
Uitgebreide gegevensopslag binnen de EU
Sinds januari 2024 kunnen Europese klanten in de commerciële en publieke sector al hun gegevens en gebruikers-ID's voor Microsoft-kerncloudservices – waaronder Microsoft 365, Dynamics 365, Power Platform en Azure – opslaan en verwerken binnen de EU- en EFTA-regio's. In februari 2025 werd de derde en laatste fase van de EU-datagrens voltooid, waarbij de grens werd uitgebreid met Microsoft Professional Services-gegevens uit technische ondersteuningsinteracties.
Met dit aanbod gaat Microsoft een stap verder dan veel andere cloudproviders: het bedrijf maakt niet alleen de lokale opslag en verwerking van klantgegevens mogelijk, maar ook van alle persoonlijke gegevens, inclusief gegevens uit automatisch gegenereerde systeemlogboeken.
Extra beveiligingsopties
Microsoft biedt Europese klanten verschillende opties voor het beveiligen en versleutelen van hun gegevens. Voorbeelden hiervan zijn Confidential Computing in Azure, dat voorkomt dat derden – waaronder Microsoft zelf – toegang krijgen tot klantgegevens, en 'lockbox'-functies voor Azure, Dynamics 365 en Microsoft 365, waarmee klanten verzoeken kunnen beoordelen en goedkeuren voordat Microsoft toegang krijgt tot hun gegevens.
Andere beveiligingsopties zijn Azure Key Vault en Microsoft Purview Customer Key, waarmee klanten hun gegevens kunnen beveiligen met zelfbeheerde versleutelingstechnologie.
Het fundamentele conflict: de Cloud Act versus de AVG.
Ondanks alle inspanningen en toezeggingen blijft er een fundamenteel juridisch conflict bestaan, waardoor de vraag rijst of de gegevens van Europese bedrijven wel echt veilig zijn bij Amerikaanse aanbieders.
De extraterritoriale reikwijdte van de CLOUD-wet
De CLOUD Act (Clarifying Lawful Overseas Use of Data Act), die in 2018 van kracht werd, stelt Amerikaanse wetshandhavingsinstanties in staat om in de VS gevestigde bedrijven te dwingen toegang te verlenen tot gegevens, ongeacht waar de gegevens fysiek zijn opgeslagen. Dit geldt ook voor gegevens die in de EU zijn opgeslagen, maar beheerd worden door Amerikaanse bedrijven of hun dochterondernemingen.
De wet verplicht Amerikaanse internetbedrijven en IT-dienstverleners om Amerikaanse autoriteiten toegang te verlenen tot opgeslagen gegevens, zelfs als deze gegevens niet in de VS zijn opgeslagen. De betrokken bedrijven hebben het recht om bezwaar te maken als de eigenaar van de gegevens geen Amerikaans staatsburger is en als het bedrijf de wetten van andere landen zou overtreden door deze openbaar te maken. Dit geldt echter alleen voor landen die een overeenkomst met de VS hebben gesloten onder de CLOUD Act, die momenteel alleen van toepassing is op het Verenigd Koninkrijk.
Het bezwaar tegen de AVG
De Europese Algemene Verordening Gegevensbescherming (AVG) is in tegenspraak met de CLOUD Act. Artikel 48 van de AVG verbiedt bedrijven om binnen de EU opgeslagen gegevens over te dragen zonder een overeenkomst inzake wederzijdse rechtshulp. Overtredingen van deze bepaling kunnen worden bestraft met boetes tot € 20 miljoen of vier procent van de wereldwijde jaaromzet van het bedrijf.
Deze onverenigbaarheid tussen de Amerikaanse CLOUD Act en de EU Algemene Verordening Gegevensbescherming (AVG) plaatst bedrijven die clouddiensten gebruiken voor een onmogelijke keuze. Ze staan voor de keuze om ofwel de CLOUD Act ofwel de AVG te overtreden, wat in beide gevallen tot aanzienlijke boetes kan leiden.
Geschikt hiervoor:
Waarom serverlocatie geen garantie biedt voor gegevensbeveiliging
In tegenstelling tot wat vaak wordt gedacht, biedt het enkele feit dat gegevens op servers in Duitsland of de EU worden opgeslagen, onvoldoende bescherming tegen toegang vanuit het buitenland.
De misvatting over gegevensbeveiliging door middel van locatiekeuze.
De opvatting dat gegevens op servers in Duitsland automatisch beschermd zijn tegen toegang vanuit het buitenland, wordt beschouwd als een "gevaarlijke misvatting". Zelfs als persoonsgegevens worden opgeslagen in datacenters in de Europese Unie, kan een Amerikaanse cloudprovider wettelijk verplicht zijn deze gegevens aan de Amerikaanse autoriteiten te verstrekken in het kader van een strafrechtelijk onderzoek.
Er bestaat een specifiek risico, met name als de cloudprovider zijn hoofdkantoor in de VS heeft of daar actief is, de gegevensverwerking via een Amerikaanse infrastructuur plaatsvindt, of een Amerikaans bedrijf directe of indirecte toegang tot de gegevens heeft. In dergelijke gevallen bestaat de mogelijkheid dat Amerikaanse autoriteiten toegang krijgen tot persoonsgegevens, zelfs zonder medeweten of toestemming van de betrokkenen in Europa.
Bedreiging voor intellectueel eigendom en bedrijfsgeheimen
Het probleem gaat veel verder dan de bescherming van persoonsgegevens. De CLOUD Act brengt reële risico's met zich mee die ook de veiligheid en vertrouwelijkheid van allerlei gevoelige gegevens in gevaar brengen, waaronder intellectueel eigendom, R&D-prototypes, klantgegevens en privécommunicatie.
Zelfs als gegevens in datacenters in de EU worden opgeslagen, kan de CLOUD Act Amerikaanse bedrijven dwingen deze gegevens aan de Amerikaanse autoriteiten over te dragen. Dit ondermijnt niet alleen de bescherming van de AVG en de gegevenssoevereiniteit van de EU, maar stelt ook cruciale bedrijfsinformatie, zoals prototypes of strategische plannen, bloot aan het risico van ongeoorloofde toegang.
Door de mogelijke toegang die Amerikaanse autoriteiten kunnen bieden, verliezen bedrijven de facto de controle over hun gegevens en daarmee over hun intellectuele eigendom, wat met name cruciaal is voor handels- en bedrijfsgeheimen.
Oplossingen voor meer datasoevereiniteit
Gezien de beschreven problemen rijst de vraag welke maatregelen bedrijven kunnen nemen om hun datasoevereiniteit te behouden.
Alternatieve cloudproviders en technische maatregelen
Effectieve bescherming tegen toegang op basis van de CLOUD Act is alleen gegarandeerd als alle aanbieders en subdienstverleners buiten de Amerikaanse wetgeving opereren, er uitsluitend gebruik wordt gemaakt van een Europese infrastructuur en er end-to-end-encryptie met uitsluitend sleutelbeheer aan de gebruikerszijde wordt geïmplementeerd.
Deskundigen adviseren daarom de volgende voorzorgsmaatregelen te nemen bij het kiezen van een cloudopslag- of back-upaanbieder:
- Het kiezen van een in de EU gevestigde provider die niet onder de CLOUD Act valt.
- Garanties voor gegevenssoevereiniteit, waarbij zowel de gegevens als de encryptiesleutels volledig binnen de EU blijven.
- Juridisch advies en expertise op het gebied van compliance, gespecialiseerd in AVG en gegevensbescherming.
Alternatieve benaderingen: Open source als strategie
Zwitserland kiest voor een interessante alternatieve aanpak: in april 2023 werd de federale wet op het gebruik van elektronische middelen voor de uitvoering van overheidstaken (EMBAG) aangenomen, die bepaalt dat overheidssoftware open source moet zijn en dat de broncode openbaar moet worden gemaakt.
Professor dr. Matthias Stürmer van de Hogeschool Bern, die zich sterk heeft gemaakt voor deze wet, omschrijft het als "een geweldige kans voor de staat, de IT-sector en de maatschappij". De aanpak is erop gericht om de afhankelijkheid van leveranciers voor de publieke sector te verminderen, bedrijven in staat te stellen hun digitale bedrijfsoplossingen uit te breiden en mogelijk te leiden tot lagere IT-kosten en betere dienstverlening voor de belastingbetaler.
De weg naar echte digitale soevereiniteit
De investeringen van Microsoft in Europa en de implementatie van de EU-datagrens zijn belangrijke stappen richting meer datasoevereiniteit voor Europese bedrijven en overheidsinstellingen. Ze bieden echter geen volledig antwoord op het fundamentele juridische conflict tussen de Amerikaanse CLOUD Act en de Europese GDPR.
Het simpelweg opslaan van gegevens op Europese servers biedt onvoldoende bescherming tegen mogelijke toegang door Amerikaanse autoriteiten als de cloudprovider onder de Amerikaanse wetgeving valt. Deze situatie zet niet alleen de gegevensbescherming op de proef, maar bedreigt ook het intellectuele eigendom en de bedrijfsgeheimen van Europese bedrijven.
Echte digitale soevereiniteit vereist daarom een meeromvattende aanpak die zowel juridische als technische aspecten in overweging neemt. Denk hierbij aan het gebruik van clouddiensten die volledig buiten het toepassingsgebied van de Amerikaanse wetgeving vallen, consistente end-to-end-encryptie met sleutelbeheer aan de gebruikerszijde, en mogelijk meer investeringen in open-sourceoplossingen.
Uiteindelijk heeft Europa een eigen, onafhankelijke cloudinfrastructuur nodig, een die niet alleen technisch maar ook juridisch soeverein is. Tot die tijd moeten bedrijven en overheidsinstellingen zorgvuldig overwegen welke data ze opslaan, waar en hoe – en welke aanbieders ze kunnen vertrouwen.
Geschikt hiervoor:
Uw wereldwijde partner voor marketing en bedrijfsontwikkeling
☑️ onze zakelijke taal is Engels of Duits
☑️ Nieuw: correspondentie in uw nationale taal!
Konrad Wolfenstein
Ik ben blij dat ik beschikbaar ben voor jou en mijn team als een persoonlijk consultant.
U kunt contact met mij opnemen door het contactformulier hier in te vullen of u gewoon te bellen op +49 89 674 804 (München) . Mijn e -mailadres is: Wolfenstein ∂ Xpert.Digital
Ik kijk uit naar ons gezamenlijke project.
