Microsoft bevestigt onder ede: Amerikaanse autoriteiten hebben toegang tot Europese data ondanks clouddiensten van de EU – Afbeelding: Xpert.Digital
Onder ede: Microsoft kan de toegang van de VS tot de EU-cloud niet blokkeren – gegevensbescherming ziet er anders uit, ondanks eerdere gewaagde beloftes
Waarom krijgt Microsoft plotseling weer kritiek vanwege problemen met gegevensprivacy?
Recente ontwikkelingen rond Microsoft hebben de kwestie van datasoevereiniteit in Europa opnieuw onder de aandacht gebracht. In juni 2025 deed Anton Carniaux, de juridisch adviseur van Microsoft Frankrijk, tijdens een openbare hoorzitting voor de Franse Senaat een uitspraak die de fundamenten van de eerdere veiligheidsbeloftes van het Amerikaanse bedrijf aan het wankelen bracht.
Toen rapporteur Dany Wattebled hem rechtstreeks vroeg of hij onder ede kon garanderen “dat de gegevens van Franse burgers die via UGAP aan Microsoft zijn toevertrouwd, nooit op verzoek van de Amerikaanse overheid openbaar zullen worden gemaakt zonder de uitdrukkelijke toestemming van de Franse autoriteiten”, antwoordde Carniaux ondubbelzinnig: “Nee, dat kan ik niet garanderen, maar het is nog nooit eerder gebeurd.”.
Deze verklaring weegt zwaar omdat deze onder ede is afgelegd, wat de wettelijke verplichting van Microsoft onderstreept. UGAP (Union des Groupements d'Achats Publics) is een centrale aanbestedingsinstantie voor de Franse publieke sector en levert IT-diensten aan scholen, gemeentehuizen en andere overheidsinstanties. Carniaux legde verder uit dat Microsoft alleen informatieverzoeken van de Amerikaanse overheid kan weigeren als deze formeel "ongegrond" zijn.
Geschikt hiervoor:
Op welke juridische grondslag is Microsoft verplicht om gegevens openbaar te maken?
De wettelijke verplichting om gegevens openbaar te maken is gebaseerd op verschillende Amerikaanse wetten die Microsoft als Amerikaans bedrijf binden. De Patriot Act van 2001 en de Cloud Act van 2018, die daarop voortbouwt, verplichten alle Amerikaanse cloudproviders om samen te werken met de Amerikaanse overheid, de NSA en andere Amerikaanse inlichtingendiensten – zelfs in het buitenland.
De Cloud Act (Clarifying Lawful Overseas Use of Data Act) is het resultaat van een jarenlange juridische strijd tussen Microsoft en de Amerikaanse overheid. De Amerikaanse autoriteiten eisten toegang tot gegevens van een Amerikaans staatsburger, die waren opgeslagen op Microsoft-servers in Ierland. Microsoft weigerde aanvankelijk, onder verwijzing naar de Ierse en EU-wetgeving inzake gegevensbescherming, maar moest uiteindelijk toegeven toen het Congres de Cloud Act in 2018 aannam.
De Cloud Act verleent de Amerikaanse autoriteiten ruime bevoegdheden om de vrijgave van gegevens van Amerikaanse bedrijven te eisen – ongeacht waar die gegevens fysiek zijn opgeslagen. Dit betekent dat gegevens in Europese datacenters van Microsoft, Amazon of Google ook onder de Amerikaanse wetgeving vallen.
Andreas Mundt, hoofd van het Duitse Bundeskartellamt (federale kartelbureau), waarschuwde al in juli 2025 voor deze afhankelijkheden: "Er vinden nu al politieke interventies plaats in de digitale infrastructuur in de VS. Dit toont de macht van de tegenpartij aan en hoe afhankelijk we zijn van Amerikaanse bedrijven." Als voorbeeld noemde hij een bevel van de Amerikaanse president Trump aan Microsoft om de toegang tot het e-mailaccount van Karim Khan, de hoofdaanklager van het Internationaal Strafhof (ICC), te blokkeren.
Wat betekent dit voor de Europese beloftes van Microsoft op het gebied van gegevensbescherming?
De onthullingen tijdens de hoorzitting in de Franse Senaat trekken de jarenlange inspanningen van Microsoft om Europese acceptatie te verkrijgen in twijfel. Het bedrijf had enorme investeringen gedaan in zijn "EU Data Boundary"—een project dat meer dan twee jaar duurde en in februari 2025 werd afgerond. Dit initiatief was bedoeld om ervoor te zorgen dat gegevens van Europese klanten uitsluitend in EU-datacenters werden opgeslagen en verwerkt.
Microsoft-president Brad Smith kondigde in april 2025 stoutmoedig aan dat het bedrijf "de Amerikaanse overheid zou aanklagen indien nodig om de toegang van Europese klanten tot zijn diensten te beschermen". Smith, vicevoorzitter en hoofd juridische zaken van Microsoft, verklaarde tijdens een bijeenkomst van de Atlantic Council in Brussel dat het bedrijf "juridisch bezwaar zou maken tegen elk overheidsbevel in de VS om clouddiensten voor Europese klanten af te sluiten".
Deze toezeggingen blijken echter waardeloos in het licht van de juridische realiteit. Zelfs als Microsoft overheidsbevelen voor de rechter zou aanvechten, zou het bedrijf deze nog steeds onmiddellijk moeten uitvoeren, zoals experts aangeven. In het beste geval zou er dan pas maanden of jaren later worden besloten dat het inderdaad onrechtmatig was. Bovendien is het niet eens gegarandeerd dat Microsoft de getroffen klanten mag of wil informeren over de toegang tot hun gegevens.
Hoe heeft de zaak van het Internationaal Strafhof dit probleem aan het licht gebracht?
De zaak van het Internationaal Strafhof (ICC) illustreert op dramatische wijze de praktische gevolgen van deze afhankelijkheden. Na de Amerikaanse sancties tegen het ICC verloor hoofdaanklager Karim Khan de toegang tot zijn Microsoft-e-mailaccount. Volgens Associated Press verloor Khan ook zijn bankrekeningen in Groot-Brittannië en moest hij overstappen op de Zwitserse e-mailprovider Proton Mail.
Microsoft ontkende de diensten van het ICC fysiek te hebben geblokkeerd, maar kon niet uitleggen wie daarvoor verantwoordelijk was. Deze onduidelijkheid benadrukt het gebrek aan transparantie rond dergelijke interventies. Peter Ganten, voorzitter van de Open Source Business Alliance (OSBA), omschreef de acties van Microsoft als "ongekend in deze context en met deze omvang". De sancties tegen het ICC, opgelegd door de VS en uitgevoerd door Microsoft, zouden moeten dienen als "een waarschuwing voor iedereen die verantwoordelijk is voor de veilige beschikbaarheid van IT- en communicatie-infrastructuren van overheden en particulieren".
Geschikt hiervoor:
Welke alternatieven biedt Europa voor Gaia-X?
Gezien deze duidelijke risico's komen Europese alternatieven zoals Gaia-X steeds meer in beeld. Gaia-X is een initiatief dat in 2019 door Duitsland en Frankrijk is gelanceerd om een "hoogwaardige en concurrerende data-infrastructuur voor Europa" te bouwen. Het project heeft als doel een gefedereerde, veilige data-infrastructuur te creëren waarin gegevens kunnen worden uitgewisseld in overeenstemming met de Europese waarden van transparantie, openheid, gegevensbescherming en veiligheid.
Het kernprincipe van Gaia-X is het behoud van datasoevereiniteit: data-eigenaren moeten volledige controle over hun data behouden en vrij zijn om te beslissen met wie ze deze delen of de toegang ertoe intrekken. In tegenstelling tot de gecentraliseerde structuren van de Amerikaanse hyperscalers is Gaia-X gebaseerd op een gedecentraliseerd, gefedereerd systeem van onderling verbonden knooppunten, gebouwd op open standaarden.
Met de Gaia-X Digital Clearing Houses (GXDCH) is het initiatief nu in een operationele fase beland. Deze clearinghouses fungeren als controlecentra voor Gaia-X-diensten en certificeren de naleving van de Gaia-X-standaarden. Vier IT-providers hebben hun eerste clearinghouse al in gebruik genomen: Aruba in Italië, T-Systems in Duitsland en Aire Networks en Arsys in Spanje. Andere providers, zoals OVH, Exaion, Orange, Proximus, A1.digital, KPN en Pfalzkom, hebben plannen aangekondigd om extra clearinghouses op te zetten.
Geschikt hiervoor:
Wat is Catena-X en waarom is het belangrijk?
Catena-X is de eerste grootschalige toepassing van de Gaia-X-principes en laat zien hoe Europese datasoevereiniteit in de praktijk kan werken. Het Catena-X Automotive Network ontwikkelt een collaboratief, gedecentraliseerd data- en service-ecosysteem langs de gehele waardeketen van de automobielindustrie.
Het project, dat met meer dan € 100 miljoen wordt gefinancierd door het federale ministerie voor Economische Zaken en Klimaat, loopt van augustus 2021 tot juli 2024. Meer dan 80 bedrijven, voornamelijk uit de Duitse auto- en IT-sector, werken aan dit project samen. Het Bundeskartellamt (federaal kartelbureau) heeft zijn goedkeuring gegeven voor deze samenwerking en benadrukt dat "goed opgezette initiatieven zoals deze veelbelovend zijn, omdat ze de concurrentie in clouddiensten in de toekomst kunnen versterken.".
Catena-X stelt bedrijven – van fabrikanten en middelgrote leveranciers tot recyclingbedrijven – in staat te profiteren van datagestuurd beheer, terwijl ze tegelijkertijd beschermd worden door de Europese wetgeving inzake gegevenssoevereiniteit en privacy. Het systeem is gebaseerd op de concepten en principes van Gaia-X en breidt deze waar nodig uit.
De kernwaarden van Catena-X zijn onder andere:
- Betrouwbare digitale identiteit: geverifieerde en unieke bedrijfsidentiteiten
- Interoperabiliteit: Uniforme open-source standaarden en KIT's
- Zelfsoevereiniteit: Gedecentraliseerde architectuur met volledige controle over de eigen gegevens
- Bestuur van de industrie: een wereldwijd operationeel model en raamwerk
Integratie van een onafhankelijk en cross-data bronbrede AI-platform voor alle bedrijfsproblemen
Integratie van een onafhankelijk en cross-data bronbrede AI-platform voor alle bedrijfszaken-afbeelding: Xpert.Digital
Ki-Gamechanger: de meest flexibele AI-op-tailor-oplossingen die de kosten verlagen, hun beslissingen verbeteren en de efficiëntie verhogen
Onafhankelijk AI -platform: integreert alle relevante bedrijfsgegevensbronnen
- Dit AI -platform werkt samen met alle specifieke gegevensbronnen
- Van SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox en vele andere gegevensbeheersystemen
- Snelle AI-integratie: op maat gemaakte AI-oplossingen voor bedrijven in uren of dagen in plaats van maanden
- Flexibele infrastructuur: cloudgebaseerd of hosting in uw eigen datacenter (Duitsland, Europa, gratis locatie-keuze)
- Hoogste gegevensbeveiliging: gebruik in advocatenkantoren is het veilige bewijs
- Gebruik in een breed scala aan bedrijfsgegevensbronnen
- Keuze voor uw eigen of verschillende AI -modellen (DE, EU, VS, CN)
Uitdagingen die ons AI -platform oplost
- Een gebrek aan nauwkeurigheid van conventionele AI -oplossingen
- Gegevensbescherming en beveiligd beheer van gevoelige gegevens
- Hoge kosten en complexiteit van individuele AI -ontwikkeling
- Gebrek aan gekwalificeerde AI
- Integratie van AI in bestaande IT -systemen
Meer hierover hier:
De terugtrekking van Amerikaanse bedrijven: De grote verschuiving naar Europese cloudalternatieven
Welke specifieke voordelen bieden Europese alternatieven?
De Europese cloudalternatieven bieden diverse cruciale voordelen ten opzichte van de Amerikaanse hyperscalers:
- Rechtszekerheid: Europese aanbieders zijn uitsluitend onderworpen aan Europees recht en niet aan extraterritoriale wetten zoals de Cloud Act of de Patriot Act. Dit betekent dat toegang tot gegevens alleen kan plaatsvinden op basis van Europese overeenkomsten inzake wederzijdse rechtshulp.
- GDPR-naleving: Omdat de gegevens de EU niet verlaten, wordt automatisch voldaan aan de strenge eisen van de Algemene Verordening Gegevensbescherming (AVG). Dit elimineert het risico op GDPR-schendingen, die kunnen leiden tot boetes van maximaal € 20 miljoen of vier procent van de wereldwijde jaaromzet.
- Gegevenssoevereiniteit: Europese oplossingen stellen bedrijven en overheidsinstanties in staat om volledige controle over hun gegevens te behouden. Bij open-source oplossingen kan zelfs de broncode worden ingezien en naar behoefte worden aangepast.
- Economische onafhankelijkheid: Door gebruik te maken van Europese alternatieven wordt de afhankelijkheid van een paar dominante Amerikaanse bedrijven verminderd en de Europese economie versterkt. Geld vloeit niet weg, maar blijft binnen de Europese economische cyclus.
Waarom zijn eerdere pogingen om digitale soevereiniteit te bereiken mislukt?
Ondanks jarenlange politieke toezeggingen voor digitale soevereiniteit loopt Europa aanzienlijk achter bij de praktische implementatie ervan. De redenen hiervoor zijn divers:
- Gebrek aan politieke daadkracht: Hoewel de Duitse regering digitale soevereiniteit tot een strategisch doel heeft verklaard, ontbreekt het aan een "consistente en strategische focus op open source-software", zo bekritiseert de Open Source Business Alliance. In plaats daarvan worden er nog steeds enorme contracten afgesloten met Amerikaanse leveranciers.
- Organisatorische tekortkomingen: De Franse Senaat concludeerde dat "de staat niet in staat was de uitdagingen aan te gaan als het ging om het garanderen van de nationale soevereiniteit". Drie belangrijke overheidsinstanties – de Direction des Achats de l'État (DAE), de Direction des Affaires Juridiques (DAJ) en het Commissariat Général au Développement Durable (CGDD) – slaagden er alle drie niet in een samenhangende bestuursstrategie te implementeren.
- Bestaande afhankelijkheden: Microsoft heeft in Duitsland een marktaandeel van bijna 70 procent voor besturingssystemen en kantoorsoftware. Deze historisch gegroeide afhankelijkheden bemoeilijken de overstap naar Europese alternatieven aanzienlijk.
- Gebrek aan bekendheid met Europese oplossingen: Hoewel er hoogwaardige Europese alternatieven bestaan, zijn deze "minder bekend" en vaak niet zo betaalbaar of gebruiksvriendelijk als de gevestigde Amerikaanse oplossingen.
Geschikt hiervoor:
Welke Europese alternatieven bestaan er al?
In tegenstelling tot wat vaak wordt gedacht, bestaan er al tal van concurrerende Europese alternatieven voor de dominante Amerikaanse diensten. De website European-Alternatives.eu biedt een uitgebreid overzicht van Europese tegenhangers van Microsoft Office, Google, Gmail, Microsoft Teams, Dropbox en andere diensten.
- E-mail en communicatie: ProtonMail uit Zwitserland, Posteo uit Duitsland en Tutanota bieden aantrekkelijke alternatieven voor Gmail en Outlook. Deze bieden vaak zelfs betere beveiligingsfuncties, zoals end-to-end-encryptie.
- Cloudopslag: Europese aanbieders zoals Proton Drive, pCloud uit Zwitserland, Internxt uit Italië en OVHcloud uit Frankrijk concurreren succesvol met Amerikaanse oplossingen.
- Kantoorsoftware: Duitse bedrijven zoals Nextcloud en Ionos ontwikkelen gezamenlijk een alternatief voor Microsoft Office, gebaseerd op open-source technologie. LibreOffice is al een gevestigd alternatief voor Microsoft Office.
- Berichtenverkeer en samenwerking: Threema uit Zwitserland biedt een veilig alternatief voor WhatsApp, dat een steeds groeiend aantal gebruikers kent.
- Cloudinfrastructuur: Duitse aanbieders zoals IONOS, OVHcloud uit Frankrijk en andere Europese aanbieders bieden Cloud Infrastructure as a Service-oplossingen aan die kunnen concurreren met AWS, Azure en Google Cloud.
Wat kunnen Sleeswijk-Holstein en andere pioniers ons leren?
Schleswig-Holstein is de eerste Duitse deelstaat die praktisch laat zien hoe je je kunt losmaken van de afhankelijkheid van Microsoft. Minister van Digitalisering Dirk Schrödter kondigde aan dat de deelstaat "goed op weg is om tegen september 2025 een belangrijke stap te hebben gezet richting onafhankelijkheid wat betreft Office-applicaties.".
Concreet betekent dit:
- Microsoft Office vervangen door LibreOffice
- Outlook vervangen door open-source oplossingen zoals Thunderbird
- Microsoft Exchange vervangen door Open Exchange
- Het bouwen van onze eigen, publiek beheerde IT-infrastructuur
Schleswig-Holstein staat er niet alleen voor: ook Nederland, Zwitserland en Frankrijk werken eraan om hun afhankelijkheid van Microsoft te verminderen. Nederland, Duitsland en Frankrijk werken zelfs officieel samen aan de ontwikkeling van gratis kantoorsoftware.
Zwitserland test momenteel de Duitse openDesk-oplossing, terwijl in Denemarken een hevig debat gaande is over de afhankelijkheid van Microsoft na Trumps dreigementen aan het adres van Groenland.
Welke rol speelt open source in digitale soevereiniteit?
Open source software vormt de basis van echte digitale soevereiniteit. De Open Source Business Alliance (OSBA) definieert digitale soevereiniteit als "het vermogen om digitale systemen en infrastructuren te beheren, ontwerpen, aanpassen en, indien nodig, vervangen en over te stappen van de ene aanbieder naar de andere." Dit is alleen mogelijk met open source software.
De vier essentiële vrijheden van open source software maken dit mogelijk:
- Inzicht in de software (inzicht in de broncode)
- Om deze zonder beperkingen te gebruiken
- Om ze te veranderen
- Om ze in gewijzigde of ongewijzigde vorm opnieuw te verspreiden
Open source zorgt ervoor dat de gebruikte systemen onafhankelijk verifieerbaar, aanpasbaar en uitwisselbaar zijn. In tijden van geopolitieke onrust is dit ook "een kwestie van veerkracht en interne en externe veiligheid, om kritieke storingen in de economie en het openbaar bestuur te voorkomen.".
Hoe kunnen bedrijven en overheden handelen?
De overgang naar Europese, soevereine IT-oplossingen vereist strategische planning en politieke wil. Diverse maatregelen zijn mogelijk:
- Op korte termijn: bedrijven kunnen in ieder geval vertrouwen op EU-servers bij het gebruik van bestaande Amerikaanse cloudproviders, hoewel er een restrisico blijft bestaan vanwege de Cloud Act. Tegelijkertijd moeten standaardcontractbepalingen (SCC's) met effectbeoordelingen van de gegevensoverdracht worden afgesloten.
- Op middellange termijn: De geleidelijke overgang naar Europese alternatieven moet worden ingezet. Minder kritieke systemen kunnen in eerste instantie worden gemigreerd om ervaring op te doen.
- Op de lange termijn: het doel moet zijn om een volledig Europese IT-infrastructuur op te bouwen met behulp van Gaia-X-principes en open-source software.
- Ontwikkel exitstrategieën: Bedrijven moeten voorbereid zijn op het geval dat het EU-VS-kader voor gegevensbescherming wordt opgeschort of dat er andere geopolitieke verstoringen optreden.
Geschikt hiervoor:
Wat betekent dit voor de toekomst van Europa?
De recente onthullingen over het onvermogen van Microsoft om Europese data te beschermen tegen toegang vanuit de VS, markeren een keerpunt in het debat over digitale soevereiniteit. Europa staat voor een keuze: ofwel accepteert het een permanente digitale afhankelijkheid van geopolitiek gemotiveerde Amerikaanse bedrijven, ofwel investeert het consequent in eigen, soevereine alternatieven.
De infrastructuur voor Europese datasoevereiniteit bestaat al met Gaia-X en de praktische toepassingen ervan, zoals Catena-X. De digitale clearinghouses zijn operationeel, Europese cloudproviders zijn er klaar voor en er zijn open-source alternatieven voor propriëtaire software beschikbaar die al goed ontwikkeld zijn.
Wat ontbreekt, is de politieke wil voor een consistente implementatie. Zolang overheden en bedrijven uit gemakzucht of vermeende kostenvoordelen afhankelijk blijven van Amerikaanse leveranciers, blijft Europa digitaal kwetsbaar. Het besef dat Microsoft de bescherming van Europese gegevens niet kan garanderen, zou de definitieve waarschuwing moeten zijn.
Europa moet nu handelen – niet uit anti-Amerikaanse wrok, maar uit rationele zorg voor zijn eigen digitale toekomst. Het alternatief voor Gaia-X en Catena-X is niet de status quo, maar toenemende digitale onderwerping aan buitenlandse wetten en belangen. De keuze is aan ons.
De weg naar digitale onafhankelijkheid
De beëdigde verklaring van Microsoft Frankrijk dat het bedrijf de bescherming van Europese gegevens tegen de Amerikaanse autoriteiten niet kan garanderen, maakt een einde aan jarenlange valse veiligheidsgedachten. De Cloud Act en de Patriot Act maken alle technische beveiligingsmaatregelen nutteloos als de Amerikaanse autoriteiten toegang tot de gegevens eisen.
Gaia-X en Catena-X zijn niet alleen theoretische concepten, maar operationele realiteiten die daadwerkelijke alternatieven bieden voor de Amerikaanse dominantie in de cloud. Met digitale clearinghouses, meer dan 200 aangesloten bedrijven in Europese brancheverenigingen en groeiende investeringen in nationale infrastructuren is de technologische basis voor digitale onafhankelijkheid gelegd.
De overgang naar digitale soevereiniteit is niet langer een utopische visie, maar een praktische noodzaak. Europa heeft een keuze: digitale zelfbeschikking door middel van eigen oplossingen of permanente afhankelijkheid van bedrijven die uiteindelijk onderworpen zijn aan buitenlandse wetten en belangen. De tijd voor halfslachtige compromissen is voorbij – Europa moet een besluit nemen.
Uw wereldwijde partner voor marketing en bedrijfsontwikkeling
☑️ onze zakelijke taal is Engels of Duits
☑️ Nieuw: correspondentie in uw nationale taal!
Konrad Wolfenstein
Ik ben blij dat ik beschikbaar ben voor jou en mijn team als een persoonlijk consultant.
U kunt contact met mij opnemen door het contactformulier hier in te vullen of u gewoon te bellen op +49 89 674 804 (München) . Mijn e -mailadres is: Wolfenstein ∂ Xpert.Digital
Ik kijk uit naar ons gezamenlijke project.
