Het probleem: de CLOUD Act en EU-data
De US CLOUD Act uit 2018 geeft Amerikaanse autoriteiten het recht om toegang te eisen tot alle data die wordt beheerd door Amerikaanse techbedrijven, ook wanneer die data buiten de VS wordt opgeslagen. De CLOUD Act staat bovendien niet op zichzelf. Samen met andere Amerikaanse wetgeving, zoals FISA (Foreign Intelligence Surveillance Act) creëert zij een kader waarin Amerikaanse bedrijven verplicht zijn om data te verstrekken. Data in een datacenter in Amsterdam, Dublin of Brussel kan daardoor onder dezelfde Amerikaanse toegangsbevoegdheden vallen als data die in de VS is opgeslagen.
Dit is geen louter theoretische bezorgdheid. Op 25 juli 2025 gaf Anton Carniaux, directeur publieke en juridische zaken van Microsoft France, onder ede toe in de Franse senaat dat het bedrijf niet kan garanderen dat EU-data veilig is voor Amerikaanse overheidstoegang. Deze verklaring heeft jarenlange claims dat data in EU-datacenters beschermd is tegen inmenging door buitenlandse overheden op losse schroeven gezet.
Het gevolg is dat Amerikaanse autoriteiten toegang kunnen krijgen tot onder meer je bedrijfsgegevens, klantendata of interne communicatie die in de EU wordt bewaard, zonder dat je daarvan op de hoogte wordt gebracht of daartegen effectief kunt optreden. En dat gebeurt vaker dan je denkt. Op basis van haar eigen halfjaarlijkse transparantierapporten geeft Microsoft daarin aan jaarlijks tienduizenden verzoeken van rechtshandhavingsinstanties wereldwijd te ontvangen. De meeste daarvan worden zonder openbare kennisgeving of mogelijkheid tot verzet ingewilligd.
Concrete gevallen: wat er mis kan gaan
Het ICC: een wake-upcall voor digitale afhankelijkheid
Het Internationaal Strafhof (ICC) in Den Haag kreeg begin 2025 te maken met Amerikaanse sancties. Op 6 februari 2025 ondertekende president Trump Executive Order 14203, waarmee sancties tegen het ICC mogelijk werden gemaakt. In dat besluit stelde het Witte Huis dat de acties van het ICC een "unusual and extraordinary threat" vormden voor de nationale veiligheid en het buitenlands beleid van de Verenigde Staten.
De gevolgen reikten ver voorbij diplomatieke spanningen. Gesanctioneerde ICC-functionarissen, waaronder hoofdaanklager Karim Khan, verloren plots toegang tot hun Microsoft-e-mailaccounts. Bankrekeningen werden bevroren, creditcards geblokkeerd en Amerikaanse werknemers van het hof kregen te horen dat ze bij terugkeer naar de VS risico liepen op arrestatie. Bedrijven en organisaties aarzelden om nog te reageren op e-mails van het ICC uit angst voor juridische repercussies of boetes.
Het Hof stond voor een existentiële keuze: afhankelijk blijven van Amerikaanse cloud- en communicatie-infrastructuur, of proactief alternatieven zoeken. Uiteindelijk besloot het ICC in oktober 2025 om de gehele Microsoft Office 365-omgeving (inclusief e-mail, Office Suite en samenwerkingstools) te vervangen door openDesk, een open-source Europees alternatief ontwikkeld door het Duitse ZenDiS. Dat een internationaal gerechtshof zijn primaire digitale werkomgeving moet opgeven onder geopolitieke druk van een buitenlandse mogendheid, toont hoe kwetsbaar die afhankelijkheid in de praktijk kan zijn.
De bredere les is duidelijk: wanneer essentiële communicatie en samenwerking draaien op infrastructuur van een buitenlandse private aanbieder, kunnen geopolitieke beslissingen plots heel concrete operationele gevolgen hebben. Voor het ICC was dat geen hypothetisch risico, maar een reële kwetsbaarheid die zichtbaar werd zodra de politieke context kantelde.
De Nederlandse Belastingdienst: een les in afhankelijkheid
In oktober 2025 besliste staatssecretaris Eugène Heijnen dat de Nederlandse Belastingdienst, Douane en Dienst Toeslagen hun kantoorautomatisering (e-mail, Teams, OneDrive, Outlook) overzetten naar Microsoft 365 in de cloud. Dit besluit volgde na uitgebreide analyses van alternatieven. Volgens de Kamerbrief was er op korte en middellange termijn geen geschikt Europees alternatief beschikbaar dat voldeed aan eisen op functionaliteit, veiligheid, continuïteit en efficiëntie.
De overheid erkent dat de overstap de afhankelijkheid van de VS vergroot. In antwoorden op Kamervragen (december 2025) bevestigde Heijnen tevens dat Amerikaanse autoriteiten via de CLOUD Act mogelijk toegang kunnen krijgen tot data. In dit geval belastingaangiften, fraudeonderzoeken en toeslagen.
Toch werd er bewust voor gekozen om door te gaan. Zelfs wanneer de risico's gekend, benoemd en politiek erkend zijn, weegt het comfort van een gevestigde naam vaak zwaarder door dan de keuze voor meer controle of minder afhankelijkheid. Een grote Amerikaanse provider biedt niet alleen technologie, maar ook een soort institutionele geruststelling: als er later iets misloopt, kan altijd worden verwezen naar de marktleider. Dat maakt de keuze bestuurlijk veiliger, ook als ze strategisch kwetsbaarder is.
De "Blame Absorption" valkuil
Tech-expert Bert Hubert formuleerde een scherpe theorie over waarom bedrijven en overheden zo vaak voor Amerikaanse cloudproviders kiezen. Het gaat daarbij niet alleen om technologie, maar ook om wat hij "blame absorption" noemt.
Wat betekent dat concreet? Wanneer een IT-manager kiest voor AWS, Microsoft of Google, koopt hij niet alleen rekenkracht of gebruiksgemak. Hij koopt ook een vorm van bescherming tegen kritiek. Als er later iets misgaat, kan hij altijd zeggen: "We hebben toch voor de marktleider gekozen?" De verantwoordelijkheid wordt zo mee opgevangen door de reputatie van de grote naam.
Dat creëert een perverse prikkel. De keuze voor een cloudprovider gebeurt dan niet alleen op basis van wat technisch of strategisch het beste is voor de organisatie, maar ook op basis van wat het veiligst is voor de beslisser zelf. Een Europese provider kan technisch even sterk of zelfs beter zijn, maar biedt niet hetzelfde reputatieschild wanneer er problemen ontstaan.
Volgens Hubert houden we onszelf daarbij ook voor de gek met het idee dat "de cloud" iets uitzonderlijks of bijna magisch is dat alleen Amerikaanse bedrijven kunnen leveren. In werkelijkheid draait veel van die cloud gewoon op gevirtualiseerde servers, iets wat Europese datacenters al jarenlang aanbieden.
Het echte probleem is dat management vaak onvoldoende technische kennis heeft om dat onderscheid scherp te zien. Daardoor vertrouwt men op adviseurs en leveranciers die zelf uit een ecosysteem komen waarin Amerikaanse oplossingen als de norm worden beschouwd. Zo ontstaat een zelfversterkend systeem dat organisaties steeds dieper in afhankelijkheid duwt.
Hubert wijst er bovendien op dat we onszelf in deze positie hebben gebracht. Tien jaar geleden was het nog heel normaal om eigen servers te beheren. System administrators zetten databases op, configureerden mailservers en hielden de infrastructuur draaiende. Die expertise is niet verdwenen. Die mensen zijn er nog steeds. Maar intussen hebben we onszelf wijsgemaakt dat dit plots niet meer haalbaar zou zijn.
De cloud is geen magie. Het zijn servers. Soms gevirtualiseerd, soms niet. Maar uiteindelijk blijven het gewoon computers in een datacenter. Het verschil is dat je bij Amerikaanse providers een stuk controle uit handen geeft. Je vertrouwt je data toe aan een bedrijf dat in bepaalde gevallen wettelijk verplicht kan worden om die door te geven aan een buitenlandse overheid.
Wat betekent dit voor Belgische ondernemingen?
Je denkt misschien: dit gaat over grote overheidsorganisaties. Geldt dit ook voor mijn onderneming? Het antwoord is ja, al uiten de risico's zich anders. Je onderneming wordt waarschijnlijk niet het doelwit van internationale sancties, maar loopt wel andere risico's die minstens even reëel zijn.
Compliance-risico's
Werk je met gevoelige klantendata, medische informatie of financiële gegevens, dan moet je rekening houden met je verplichtingen onder de AVG (GDPR). Het gebruik van Amerikaanse cloudproviders is op zich niet verboden, maar vereist wel een correcte juridische basis en een grondige risicoanalyse. Het EU-US Data Privacy Framework biedt een kader voor doorgifte van persoonsgegevens naar de VS, maar neemt de discussie rond toegang door Amerikaanse autoriteiten, bijvoorbeeld onder de CLOUD Act, niet volledig weg. Het is dus geen sluitende garantie dat data volledig afgeschermd blijft van buitenlandse overheidsinmenging.
Voor veel ondernemingen is dat een onzichtbaar risico. Je denkt dat je compliant bent omdat je de juiste verwerkersovereenkomsten hebt afgesloten. Maar dergelijke overeenkomsten kunnen geen afbreuk doen aan dwingende buitenlandse wetgeving. Als Amerikaanse autoriteiten toegang vragen tot data, kunnen Amerikaanse providers verplicht worden om daaraan gevolg te geven. En jij hoort er waarschijnlijk nooit iets van.
IP-bescherming
Werk je met bedrijfsgeheimen, innovatieve processen of strategische plannen, dan is ook dat een aandachtspunt. Dergelijke informatie kan in theorie onderhevig zijn aan buitenlandse wettelijke toegangsvorderingen. Niet via hacking, maar via juridische kanalen waar je zelf geen directe controle over hebt.
Continuiteitsrisico
Ook continuïteit speelt een rol. Geopolitieke spanningen, sancties of beleidsbeslissingen kunnen impact hebben op de beschikbaarheid van diensten of toegang tot data.
Dat is geen louter theoretisch risico. We hebben gezien wat er gebeurde met het ICC. We hebben gezien hoe financiële sancties tegen Russische banken na de inval in Oekraïne directe gevolgen hadden voor toegang tot internationale systemen. Als je bedrijfskritische infrastructuur afhankelijk is van een buitenlandse provider, ben je dus indirect blootgesteld aan dit soort geopolitieke schokken.
Het voorbeeld van het CCB
Het Centre for Cybersecurity Belgium (CCB) is de centrale autoriteit voor cybersecurity in België. Toch stelde Miguel De Bruycker, directeur van het CCB, recent in de Financial Times dat het vandaag moeilijk is om data volledig binnen Europa te houden, onder meer door de dominantie van Amerikaanse spelers in de digitale infrastructuur. Volgens Bert Hubert ligt het probleem niet alleen bij de technologie, maar vooral bij de mindset. De overtuiging dat er geen alternatieven zijn, terwijl die er wel degelijk bestaan, zorgt voor een structurele afhankelijkheid.
Voor Belgische ondernemingen is dat een belangrijke les. Als zelfs een nationale cybersecurity-autoriteit die afhankelijkheid als een gegeven beschouwt, wordt het moeilijk om als kmo nog correct in te schatten wat mogelijk is. Juist daarom is het belangrijk om niet blind te vertrouwen op dominante spelers of gangbare adviezen.
Die mindset zie je op veel plaatsen terug. IT-afdelingen die stellen dat ze "cloud-native" zijn en daarom enkel AWS of Azure kunnen gebruiken. Consultants die Europese providers afdoen als "niet enterprise-ready". Alsof er een fundamenteel verschil zou zijn dat Europese spelers niet kunnen overbruggen.
Het klopt dat Europese providers soms minder uitgebreide managed services aanbieden. Dat betekent dat je als organisatie meer zelf moet organiseren. Maar dat is geen technische onmogelijkheid, het is een keuze. Een keuze tussen gemak en controle. Tussen snelheid en strategische autonomie.
Alternatieven en migratiepaden
Volledige digitale soevereiniteit bereik je zelden in één beweging. Voor de meeste Belgische ondernemingen is een gefaseerde aanpak realistischer en verstandiger dan een onmiddellijke breuk met alle Amerikaanse tooling.
Begin met een inventaris van welke data, processen en applicaties echt gevoelig of bedrijfskritisch zijn. Niet elke workload vraagt dezelfde mate van autonomie. E-mail, samenwerking, klantdata, contracten en interne kennis verdienen meestal meer aandacht dan een generieke marketingtool of testomgeving.
Kijk vervolgens waar een hybride aanpak mogelijk is. Sommige ondernemingen houden gevoelige data en kernprocessen onder Europese controle, terwijl minder kritische toepassingen tijdelijk op bestaande platformen blijven draaien. Zo verlaag je het risico zonder alles tegelijk te moeten migreren.
Voor nieuwe projecten is het vaak het eenvoudigst om vanaf het begin een Europese of soevereine standaard te kiezen. Voor bestaande omgevingen is een exitplan minstens even belangrijk: weet welke data waar staat, hoe je die kunt exporteren, welke afhankelijkheden er zijn en hoe lang een overstap realistisch zou duren.
De juiste vraag is dus niet alleen "welke cloud is het krachtigst?", maar ook "welke afhankelijkheden bouwen we vandaag op, en hoe omkeerbaar zijn die later nog?"
Tot slot
EU Tech Soevereiniteit is geen abstract politiek debat. Het is een concrete vraag die elke onderneming zich moet stellen: wie heeft toegang tot mijn data?
De keuze voor een cloudprovider is ook een keuze voor een juridisch systeem. Amerikaanse providers bieden sterke technologie, maar brengen ook een juridische risico-exposure met zich mee die niet altijd zichtbaar is in marketingmateriaal.
Het goede nieuws: je hebt keuze. Europese alternatieven zijn beschikbaar, betaalbaar en vaak even capabel. Maar het vereist wel dat je als ondernemer bewust nadenkt over je afhankelijkheden, in plaats van automatisch de weg van de minste weerstand te volgen.
De vraag is niet of je perfecte soevereiniteit kunt bereiken. De vraag is of je je bewust bent van de keuzes die je maakt, en of je bereid bent om voor die bewustheid ook iets op te geven.
Want laten we eerlijk zijn: het gemak van een grote Amerikaanse provider is reëel. Je hebt meteen toegang tot een uitgebreid ecosysteem van diensten. Je kunt met een creditcard starten en binnen enkele minuten opschalen. Dat is niet niks.
Maar dat gemak heeft een prijs. Een prijs die niet altijd op de factuur staat. Een prijs die pas zichtbaar wordt wanneer er iets misgaat, wanneer je data op een manier wordt gebruikt die je niet had verwacht, of wanneer blijkt dat je minder controle hebt dan je dacht.
EU Tech Soevereiniteit begint met het erkennen van die prijs. Het is een afweging die elke ondernemer moet maken. En het is een afweging die je beter bewust maakt, dan dat je erin rolt omdat "iedereen het doet".