LegacyShield
Terug naar blog
·5 min read·LegacyShield Team

De CLOUD Act: Waarom 'EU-regio' op AWS je data niet beschermt

De Amerikaanse CLOUD Act geeft de VS het recht om data op te eisen van Amerikaanse bedrijven — ook als die in Europa staat. Dit betekent het voor jouw belangrijkste documenten.

CLOUD Act EU dataUS servers AVGdatasoevereiniteit Europa

Je Data Staat in Frankfurt. Maar Luistert Naar Washington.

Je hebt alles goed gedaan. Een cloudprovider gekozen met een "EU-regio." Je bestanden staan op een server in Frankfurt, Dublin of Amsterdam. Europese grond, Europese stroom, Europees datacenterpersoneel.

Maar het bedrijf dat die server beheert? Amerikaans. En dat ene feit maakt alles ongedaan.

Wat de CLOUD Act Precies Zegt

In maart 2018 namen de Verenigde Staten de Clarifying Lawful Overseas Use of Data Act aan — de CLOUD Act. De wet werd verstopt in een begrotingswet van 2.232 pagina's en ondertekend vrijwel zonder publiek debat.

Dit is wat het in gewoon Nederlands betekent: elk Amerikaans bedrijf moet klantgegevens overdragen aan Amerikaanse opsporingsdiensten, ongeacht waar die data fysiek staat.

Niet "data die in de VS staat." Alle data. Overal ter wereld.

Sla je je testament, verzekeringspolis of financiële overzichten op bij AWS, Google Cloud, Microsoft Azure of Dropbox — en de Amerikaanse overheid vaardigt een bevel uit — dan is dat bedrijf wettelijk verplicht om het over te dragen. Ook al staat de server in de EU. Ook al ben je Europees staatsburger. Ook al ben je nooit in Amerika geweest.

"Maar de AVG Beschermt Mij"

Dit is het punt waar privacyadvocaten grijs van worden.

De AVG — de Europese privacywet — zegt dat persoonsgegevens van EU-inwoners niet buiten de EU mogen worden overgedragen zonder adequate bescherming. De CLOUD Act zegt dat Amerikaanse bedrijven data moeten overdragen, ongeacht waar die staat.

Deze twee wetten spreken elkaar direct tegen.

In de praktijk: Amerikaanse bedrijven gehoorzamen eerst aan Amerikaans recht. Ze kunnen een bevel aanvechten. Ze informeren je misschien. Maar wanneer het Department of Justice doordrukt, vechten Amerikaanse bedrijven terug met advocaten — niet met gesloten deuren.

Microsoft vocht dit gevecht daadwerkelijk uit. In United States v. Microsoft Corp. (2018) stelden ze dat ze niet verplicht zouden moeten worden om e-mails in Ierland over te dragen. De zaak ging tot aan het Supreme Court — waarna het Congres de CLOUD Act aannam. Probleem opgelost. Voor de Amerikaanse overheid althans.

De "EU-Regio" Marketingtruc

Elke grote Amerikaanse cloudprovider biedt nu "EU-regio's" aan. AWS heeft datacenters in Frankfurt, Dublin, Parijs, Stockholm en Milaan. Google Cloud draait in meerdere Europese steden. Microsoft Azure dekt het grootste deel van West-Europa.

Ze verkopen dit als privacyfeature. "Je data blijft in Europa." Technisch waar. Functioneel zinloos.

Een vergelijking: stel je huurt een kluis bij een bank in Amsterdam. De kluis is hier. De sleutel is hier. Maar de bank is eigendom van een Amerikaans bedrijf met hoofdkantoor in Seattle. Als de VS aanklopt, gaan ze niet naar Amsterdam. Ze gaan naar Seattle en zeggen: "Open die kluis."

Dat de kluis in Amsterdam staat, maakt niet uit. De commandolijn loopt via de VS.

Wat Betekent "Europese Infrastructuur in Europees Eigendom"?

Er is een cruciaal verschil tussen "gehost in Europa" en "eigendom van een Europees bedrijf."

Wanneer je data op servers staat die eigendom zijn van een Europees bedrijf — opgericht in Europa, gevestigd in Europa, zonder Amerikaans moederbedrijf — is de CLOUD Act simpelweg niet van toepassing.

Dit is het verschil:

  • AWS Frankfurt → Amerikaans bedrijf, Amerikaanse jurisdictie, CLOUD Act van toepassing
  • Hetzner (Duitsland) → Duits bedrijf, EU-jurisdictie, CLOUD Act niet van toepassing

Zelfde continent. Misschien zelfs dezelfde stad. Compleet andere juridische realiteit.

Wie Zich Hier Druk Om Moet Maken

Expats met documenten in meerdere landen. Je testament volgt het recht van één land. Je bankrekeningen staan in een ander land. Je pensioeninformatie, verzekeringspolissen en medische volmachten liggen verspreid over drie clouddiensten — allemaal Amerikaans.

ZZP'ers met klantgegevens. Bewaar je klantcontracten op Google Drive? Dan overtreed je mogelijk de AVG zonder het te weten — omdat je Amerikaanse cloudprovider geen EU-only toegang kan garanderen.

Iedereen in Nederland die bewust voor Europa koos. Je woont hier, deels vanwege hoe de EU met privacy omgaat. Die keuze verliest waarde als je belangrijkste bestanden op Amerikaans gecontroleerde infrastructuur staan.

De LegacyShield Aanpak

LegacyShield draait volledig op Europese infrastructuur in Europees eigendom — Hetzner, met hoofdkantoor in Duitsland. Geen Amerikaans moederbedrijf. Geen Amerikaanse investeerders. Geen CLOUD Act-jurisdictie.

Je documenten worden versleuteld met AES-256-GCM vóórdat ze je browser verlaten. Wij bewaren de sleutels niet. We kunnen je bestanden niet lezen, zelfs als we het zouden willen — en geen enkele overheid kan ons dwingen sleutels te overhandigen die we niet hebben.

Wat Je Vandaag Kunt Doen

Stap 1: Controleer waar je belangrijke documenten écht staan. Google Drive? Dropbox? iCloud? Allemaal Amerikaans. Allemaal onderworpen aan de CLOUD Act.

Stap 2: Vraag jezelf af — vind je het acceptabel dat de Amerikaanse overheid juridisch bij je testament kan? Je medische volmachten? Je financiële overzichten?

Stap 3: Zo niet, verplaats je gevoeligste documenten naar infrastructuur die structureel buiten dat bereik valt. Geen beloftes. Architectuur.

Je digitale nalatenschap verdient beter dan een vinkje bij "EU-regio."

Klaar om de controle over je documenten te nemen? Maak je gratis LegacyShield account aan — Europees eigendom, zero-knowledge versleuteld, gebouwd voor de documenten die er toe doen.

Beveilig je documenten gratis

Begin vandaag met LegacyShield. Zero-knowledge encryptie, noodtoegang voor je dierbaren, en altijd gratis te gebruiken.

Gratis beginnen