Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Hoe de EU-datawet en de GDPR botsen met de Amerikaanse US CLOUD Act-eisen voor data-toegang — en wat dat betekent voor datasoevereiniteit
Hoe de EU-datawet en de GDPR botsen met de Amerikaanse US CLOUD Act-eisen voor data-toegang — en wat dat betekent voor datasoevereiniteit

Hoe de EU-datawet en de GDPR botsen met de Amerikaanse US CLOUD Act-eisen voor data-toegang — en wat dat betekent voor datasoevereiniteit

by Robert Dougherty updated maart 9, 2026 AVG-naleving
Reading Time: 10 minutes

Zoek op “EU Cloud Act” en je vindt honderden resultaten — artikelen, compliancegidsen en leveranciersuitleg die allemaal verwijzen naar een wet die technisch gezien niet bestaat. De Europese Unie heeft geen statuut met die naam. Wat er wél is, is een juridisch kader dat direct en opzettelijk in strijd is met de Amerikaanse CLOUD Act over de vraag wie toegang heeft tot data die in Europa is opgeslagen: de EU-datawet (van kracht sinds januari 2024, van toepassing vanaf september 2025), die expliciete bepalingen bevat die onrechtmatige toegang van overheden uit derde landen tot niet-persoonsgegevens blokkeren; en de GDPR, die sinds 2018 dezelfde kwestie regelt voor persoonsgegevens.

De verwarring rond terminologie is belangrijk omdat het een belangrijkere waarheid verdoezelt: het juridische conflict tussen Europese en Amerikaanse data-toegangsregimes is echt, structureel en onopgelost — met directe gevolgen voor elke organisatie die data in Europa opslaat of verwerkt via infrastructuur onder Amerikaanse controle. Inzicht in de daadwerkelijke instrumenten is het startpunt om te begrijpen wat echte datasoevereiniteit en naleving vereisen.

Samenvatting voor het management

Belangrijkste idee: De Amerikaanse CLOUD Act (2018) verplicht Amerikaanse bedrijven om data waar zij controle over hebben te overhandigen bij een geldig verzoek van de Amerikaanse overheid, ongeacht waar die data is opgeslagen. De EU-datawet (van toepassing vanaf september 2025) verplicht cloudproviders die actief zijn in de EU om technische en organisatorische maatregelen te nemen die onrechtmatige toegang van niet-EU-overheden tot niet-persoonsgegevens in Europa voorkomen — en om toegangsvragen die in strijd zijn met EU-wetgeving aan te vechten. GDPR Hoofdstuk V en de vereisten na Schrems II passen dezelfde logica toe op persoonsgegevens. Deze kaders creëren niet alleen compliance-spanning — ze leggen direct tegengestelde wettelijke verplichtingen op aan Amerikaanse cloudproviders die in Europa opereren. De oplossing is architectonisch: door klantgestuurde encryptie met sleutels buiten de Amerikaanse infrastructuur kan een provider technisch niet voldoen aan een decryptieverzoek, waarmee beide juridische systemen tegelijk worden bediend.

Waarom dit relevant is: De EU-datawet geldt voor elk bedrijf dat cloud- of dataverwerkingsdiensten aanbiedt in de EU, ongeacht waar het hoofdkantoor is gevestigd — en is van toepassing vanaf september 2025. Amerikaanse cloudproviders met EU-klanten zijn nu wettelijk verplicht om maatregelen te nemen die onrechtmatige toegang van de Amerikaanse overheid tot in de EU opgeslagen data voorkomen. Organisaties die vertrouwen op cloudinfrastructuur onder Amerikaans beheer voor EU-data zonder architecturale soevereiniteitsmaatregelen zijn tegelijkertijd niet compliant met de Amerikaanse wet (als ze geldige CLOUD Act-verzoeken blokkeren) of met de EU-wet (als ze eraan voldoen). Alleen architectuur lost dit op.

Belangrijkste inzichten

  1. Er is geen “EU Cloud Act” — de juiste instrumenten zijn de EU-datawet en GDPR. Hoofdstuk VII van de EU-datawet behandelt onrechtmatige toegang van overheden uit derde landen tot niet-persoonsgegevens die in de EU zijn opgeslagen. GDPR Hoofdstuk V en de richtlijnen na Schrems II gaan over persoonsgegevens. Samen vormen ze het juridische antwoord van de EU op de reikwijdte van de Amerikaanse CLOUD Act — maar het zijn verschillende instrumenten met een eigen reikwijdte, datacategorieën en handhavingsmechanismen.
  2. De Amerikaanse CLOUD Act en EU-datawet leggen direct tegengestelde verplichtingen op aan Amerikaanse providers. De CLOUD Act vereist dat wordt voldaan aan verzoeken van de Amerikaanse overheid, ongeacht waar de data zich bevindt. De EU-datawet verplicht dezelfde providers om dergelijke toegang te voorkomen wanneer dit onrechtmatig is volgens EU-wetgeving, en om dergelijke verzoeken actief aan te vechten. Een provider kan niet aan beide tegelijk voldoen wanneer de Amerikaanse wet openbaarmaking verplicht die volgens de EU-wet verboden is.
  3. Het conflict betreft verschillende datacategorieën onder verschillende instrumenten. Hoofdstuk VII van de EU-datawet gaat over niet-persoonsgegevens. GDPR Hoofdstuk V en Schrems II gaan over persoonsgegevens. Voor elke onderneming met beide soorten data in EU-infrastructuur — wat vrijwel elke organisatie betreft — zijn beide instrumenten tegelijk van toepassing op de volledige dataomgeving.
  4. Klantgestuurde encryptie is de architecturale oplossing voor beide conflicten. Wanneer een Amerikaanse provider geen toegang heeft tot de encryptiesleutels voor in de EU opgeslagen data, kan deze geen leesbare inhoud leveren bij een CLOUD Act-verzoek — waarmee wordt voldaan aan de technische onmogelijkheidseis — en tegelijk aan de eis van de EU-datawet voor technische maatregelen die effectieve toegang door buitenlandse overheden voorkomen.
  5. De cloud-switching bepalingen van de EU-datawet verlagen de kosten van soevereine migratie. Door providers te verplichten om klantmigratie binnen twee maanden mogelijk te maken en overstapkosten uiterlijk januari 2027 af te schaffen, heeft de EU-datawet bewust de commerciële drempel verlaagd om te migreren van Amerikaanse cloudinfrastructuur naar soevereine Europese alternatieven.

Wat de Amerikaanse CLOUD Act daadwerkelijk vereist

De Clarifying Lawful Overseas Use of Data Act (2018) bepaalt dat Amerikaanse bedrijven data die zij beheren, waar ook ter wereld, moeten bewaren en overhandigen bij een geldig Amerikaans juridisch verzoek — inclusief data die in Europese datacenters is opgeslagen. De reikwijdte volgt het bedrijfsbeheer, niet de geografie. Een verzoek aan het Amerikaanse hoofdkantoor van een provider verplicht tot het leveren van data uit servers in Frankfurt, Amsterdam of Dublin. De opslaglocatie is irrelevant; het gaat erom dat de provider een Amerikaanse entiteit is die onder de Amerikaanse wet valt.

De CLOUD Act bevat een mechanisme waarmee providers een verzoek kunnen aanvechten: Amerikaanse providers kunnen proberen een verzoek te wijzigen of nietig te laten verklaren wanneer de klant geen Amerikaan is en naleving het risico inhoudt dat wetten van een gekwalificeerde buitenlandse overheid worden overtreden. In de praktijk is dit mechanisme beperkt — het geldt slechts in specifieke gevallen, vereist actief juridisch optreden van de provider, en schort de naleving tijdens de procedure niet op. Het biedt geen wezenlijke bescherming voor EU-datasoevereiniteit. Europese datacenteradressen veranderen de geografie, maar niet de rechtsbevoegdheid.

Wat de EU-datawet vereist — en waar het botst

De EU-datawet (Verordening (EU) 2023/2854), die in januari 2024 in werking trad en vanaf september 2025 van toepassing is, is in de eerste plaats een verordening voor data delen en cloud-switching — maar Hoofdstuk VII bevat de bepalingen die het meest relevant zijn voor soevereiniteit. Hoofdstuk VII vereist dat cloudproviders en aanbieders van dataverwerkingsdiensten die in de EU actief zijn “technische, juridische en organisatorische maatregelen” nemen om te voorkomen dat overheden uit derde landen toegang krijgen tot niet-persoonsgegevens die in de EU zijn opgeslagen, wanneer die toegang onrechtmatig zou zijn volgens EU- of lidstaatwetgeving.

Wanneer een provider een toegangsverzoek ontvangt van een overheid uit een derde land — waaronder een CLOUD Act-verzoek uit de VS — moet deze beoordelen of het verzoek gemotiveerd, specifiek en proportioneel is, en of het in strijd is met EU-wetgeving of toepasselijke internationale verdragen. Als er een conflict is, moet de provider het verzoek aanvechten of wijziging vragen. Als openbaarmaking onvermijdelijk is, mag alleen het minimum aan noodzakelijke data worden verstrekt met beschermende maatregelen. Providers moeten ook publiekelijk bekendmaken welke technische maatregelen zij hebben genomen om onrechtmatige overheids­toegang te voorkomen en waar hun ICT-infrastructuur zich bevindt — wat zorgt voor transparantie: EU-klanten en toezichthouders kunnen beoordelen of de soevereiniteitsarchitectuur van een provider echt is of slechts een claim.

Het conflict met de CLOUD Act is direct. Een CLOUD Act-verzoek uit de VS voor niet-persoonsgegevens in de EU is precies het scenario dat Hoofdstuk VII vereist dat de provider aanvecht. De provider kan niet aan beide voldoen: voldoen aan het CLOUD Act-verzoek kan in strijd zijn met de EU-datawet; het aanvechten ervan om aan de EU-datawet te voldoen kan de provider blootstellen aan juridische gevolgen in de VS.

De rol van GDPR: het persoonsgegevenendomein

Hoewel Hoofdstuk VII van de EU-datawet over niet-persoonsgegevens gaat, regelt GDPR Hoofdstuk V sinds 2018 het equivalent voor persoonsgegevens. De Schrems II-uitspraak (2020) heeft die regelgeving aangescherpt tot een directe confrontatie met de Amerikaanse surveillancewetgeving: SCC’s voor overdracht door Amerikaanse providers zijn alleen geldig als data daadwerkelijk beschermd is tegen toegang door de Amerikaanse overheid — wat vereist dat Transfer Impact Assessments eerlijk CLOUD Act- en FISA 702-risico’s beoordelen, en technische aanvullende maatregelen nemen als er een actief risico is. In de EDPB-aanbevelingen 01/2020 wordt klantgestuurde encryptie met sleutels buiten de infrastructuur van de provider genoemd als de belangrijkste adequate technische maatregel. Oostenrijkse, Franse en Italiaanse toezichthouders hebben handhavingsbesluiten genomen waarin ze bepaalde Amerikaanse cloudconstructies in strijd met GDPR verklaren — waarmee feitelijk wordt geoordeeld dat CLOUD Act-risico zonder voldoende technische beperking een GDPR-overtreding is.

Het gecombineerde effect is allesomvattend: persoonsgegevens in EU-infrastructuur worden beschermd door GDPR en Schrems II; niet-persoonsgegevens door Hoofdstuk VII van de EU-datawet. Voor elke onderneming met beide — wat vrijwel elke organisatie betreft — zijn beide instrumenten tegelijk van toepassing op de volledige dataomgeving.

Waarom het conflict niet contractueel oplosbaar is

De standaardreactie op dit conflict is contractueel: Amerikaanse providers ondertekenen dataverwerkingsovereenkomsten waarin zij beloven geen EU-data te verstrekken zonder wettelijke dwang, zich verplichten om te brede verzoeken aan te vechten en notificatieprocedures aanbieden waar toegestaan. Deze toezeggingen zijn niet betekenisloos — ze scheppen juridische verplichtingen en reputatierisico’s. Maar ze lossen het onderliggende conflict niet op, omdat contracten partijen aan elkaar binden; ze heffen de wettelijke verplichtingen jegens soevereine overheden niet op.

Wanneer een geldig CLOUD Act-verzoek binnenkomt, verandert de contractuele toezegging van de Amerikaanse provider aan de EU-klant niets aan de wettelijke verplichting tegenover de Amerikaanse overheid. De provider moet voldoen — of juridische gevolgen in de VS riskeren. De DPA van de EU-klant kan dan concluderen dat contractuele bescherming onvoldoende was volgens Schrems II of de EU-datawet. Het probleem is niet contractueel — het is een kwestie van rechtsbevoegdheid.

Het challenge-mechanisme van de EU-datawet is een verbetering ten opzichte van de status quo omdat providers verplicht worden onrechtmatige verzoeken actief aan te vechten — maar het heft de spanning niet op. Procedures kosten tijd, hebben onzekere uitkomsten en schorten de verplichting tot openbaarmaking tijdens de procedure niet op. De structurele oplossing is architectuur: klantgestuurde encryptie waarbij de EU-klant de sleutels in eigen Europese infrastructuur beheert, en de Amerikaanse provider nooit over de decryptiemogelijkheid beschikt. Een CLOUD Act-verzoek levert alleen ciphertext op — data die de provider wettelijk overhandigt maar niet kan ontsleutelen. Aan de technische maatregeleneis van de EU-datawet is voldaan. Aan de aanvullende maatregeleneis van Schrems II in GDPR is voldaan. Aan het CLOUD Act-verzoek is technisch voldaan. Alles tegelijk, dankzij architectuur.

Wat dit betekent voor datasoevereiniteit in de praktijk

Het conflict tussen EU-datawet/GDPR en de CLOUD Act maakt van datasoevereiniteit een architecturale eigenschap in plaats van een compliance-vinkje. Soevereiniteit bereik je niet door een provider te kiezen die belooft data te beschermen — maar door een architectuur te implementeren waarbij de provider technisch niet in staat is die belofte te breken, omdat hij nooit de toegang had om dat mogelijk te maken.

Voor organisaties die hun EU-datainfrastructuur evalueren, volgen hieruit vier praktische maatregelen. Single-tenant Europese inzet — toegewijde infrastructuur in een EU-datacenter via een Europese cloudprovider of eigen infrastructuur van de klant, niet de EU-regio van een Amerikaanse hyperscaler — scheidt EU-data van Amerikaanse controle. Klantgestuurde encryptie met sleutels in de eigen HSM van de EU-klant dicht het CLOUD Act-gat. Beleidsafgedwongen geofencing zorgt ervoor dat dataresidentie technisch afdwingbaar is — de transparantievereisten van de EU-datawet maken niet-afdwingbare geofencingclaims zichtbaar in plaats van ze te verbergen. En onveranderlijke audittrails leveren de bewijsvoering die zowel de EU-datawet als GDPR vereisen voor verantwoording.

De cloud-switching bepalingen van de EU-datawet voegen een commercieel aspect toe: opzegrechten met twee maanden opzegtermijn en het afschaffen van overstapkosten uiterlijk januari 2027 verlagen bewust de kosten van migratie van Amerikaanse infrastructuur naar soevereine alternatieven — waardoor de optie van architecturale soevereiniteit toegankelijker wordt, juist nu de juridische gevolgen nijpender worden.

Hoe Kiteworks het juridische conflict architectonisch oplost

De “EU Cloud Act” bestaat niet — maar het juridische conflict waarnaar wordt verwezen is echt en nu volledig van kracht. Hoofdstuk VII van de EU-datawet en Hoofdstuk V van GDPR bepalen samen dat in de EU opgeslagen data — zowel persoons- als niet-persoonsgegevens — wordt beschermd tegen onrechtmatige toegang door niet-EU-overheden via instrumenten die direct botsen met de openbaarmakingsverplichtingen van de Amerikaanse CLOUD Act. Amerikaanse cloudproviders staan voor tegengestelde wettelijke verplichtingen die contracten niet kunnen oplossen en challenge-procedures slechts gedeeltelijk kunnen beperken.

De oplossing is architecturale soevereiniteit: klantgestuurde encryptiesleutels in Europese infrastructuur, single-tenant EU-inzet buiten Amerikaanse controle, en technische geofencing die dataresidentie aantoonbaar maakt. Kiteworks levert die architectuur — jouw data, jouw rechtsbevoegdheid, jouw sleutels — waardoor het juridische conflict voor providers technisch irrelevant wordt en organisaties daadwerkelijk worden beschermd.

Kiteworks levert de architecturale oplossing die de EU-datawet en de Schrems II-vereisten van GDPR eisen — en die de CLOUD Act-paradox noodzakelijk maakt.

Het Kiteworks Private Data Network wordt ingezet als een toegewijde, single-tenant instantie op de door de EU-klant gekozen Europese locatie — on-premises, via een Europese cloudprovider of door Kiteworks gehoste EU-infrastructuur. Geen verwerking van EU-klantdata in de VS. Klantgestuurde encryptie (BYOK/BYOE) met FIPS 140-3 Level 1 gevalideerde encryptie en AES-256 Encryptie in rust betekent dat Kiteworks nooit over de encryptiesleutels van de klant beschikt. Een CLOUD Act-verzoek aan Kiteworks levert alleen ciphertext op — technisch conforme openbaarmaking die niets leesbaars prijsgeeft. Aan de technische maatregeleneis van de EU-datawet is voldaan. Aan de aanvullende maatregeleneis van Schrems II in GDPR is voldaan. Aan de CLOUD Act-verplichting is voldaan. Alles tegelijk, dankzij architectuur.

Beleidsafgedwongen geofencing houdt content binnen aangewezen EU-regio’s op infrastructuurniveau. Zero trust beveiligingsmaatregelen reguleren alle toegang, waarbij elke interactie wordt vastgelegd in een onveranderlijke audittrail via het CISO-dashboard. Vooraf geconfigureerde compliance-rapportages voor GDPR, NIS 2, DORA en ISO 27001 bieden het bewijsdossier voor toezichthouders of klanten die vragen hoe het CLOUD Act-conflict is opgelost. Alle kanalen — e-mail, bestandsoverdracht, MFT, webformulieren, API’s — worden beheerd onder één platform met consistente soevereiniteitscontroles.

Wil je zien hoe Kiteworks het conflict tussen de EU-datawet en GDPR met CLOUD Act-verzoeken uit de VS oplost? Plan vandaag nog een demo op maat.

Veelgestelde vragen

Er is geen EU-statuut met de naam “Cloud Act”. De term wordt veelvuldig informeel gebruikt maar verwijst naar twee verschillende instrumenten: de EU-datawet (van toepassing vanaf september 2025), waarvan Hoofdstuk VII cloudproviders in de EU verplicht om onrechtmatige toegang van niet-EU-overheden tot niet-persoonsgegevens te voorkomen en toegangsvragen die in strijd zijn met EU-wetgeving aan te vechten; en GDPR Hoofdstuk V met het Transfer Impact Assessment-kader na Schrems II, dat hetzelfde regelt voor persoonsgegevens. Samen vormen ze het juridische antwoord van de EU op de Amerikaanse CLOUD Act — maar elk heeft een andere reikwijdte, handhavingsmechanismen en datacategorieën, waardoor het onderscheid belangrijk is voor compliance.

De Amerikaanse CLOUD Act verplicht Amerikaanse bedrijven om data waarover zij controle hebben te overhandigen bij een geldig verzoek van de Amerikaanse overheid, ongeacht de opslaglocatie. Hoofdstuk VII van de EU-datawet verplicht cloudproviders in de EU om toegang door niet-EU-overheden tot in de EU opgeslagen niet-persoonsgegevens te voorkomen wanneer die toegang onrechtmatig is — en om dergelijke verzoeken aan te vechten in plaats van te voldoen. Een geldig CLOUD Act-verzoek voor niet-persoonsgegevens in de EU is precies het scenario dat Hoofdstuk VII vereist dat de provider aanvecht. De provider kan niet aan beide tegelijk voldoen: voldoen aan de CLOUD Act kan in strijd zijn met de EU-datawet; het aanvechten ervan om aan de EU-datawet te voldoen kan de provider blootstellen aan juridische gevolgen in de VS.

Nee — Hoofdstuk VII heeft expliciet alleen betrekking op niet-persoonsgegevens. Persoonsgegevens vallen onder GDPR, waarvan de implicaties van Schrems II functioneel gelijkwaardig zijn: Hoofdstuk V-overdrachtsbeperkingen, Transfer Impact Assessments en EDPB-aanbevelingen 01/2020 zijn allemaal van toepassing op overdracht van persoonsgegevens naar infrastructuur onder Amerikaanse controle, waarbij klantgestuurde encryptie de belangrijkste adequate technische maatregel is. Voor organisaties met zowel persoons- als niet-persoonsgegevens in EU-infrastructuur — wat vrijwel elke onderneming betreft — zijn zowel de EU-datawet als GDPR tegelijk van toepassing op de volledige dataomgeving.

Volgens Hoofdstuk VII moet de provider beoordelen of het verzoek gemotiveerd, specifiek en proportioneel is — en of het in strijd is met EU-wetgeving of toepasselijke internationale verdragen zoals verdragen voor wederzijdse rechtshulp. Als er een conflict is, moet het verzoek worden aangevochten of wijziging worden gevraagd. Als openbaarmaking uiteindelijk onvermijdelijk is, mag alleen het minimum aan noodzakelijke data worden verstrekt met beschermende maatregelen, en moeten getroffen klanten worden geïnformeerd tenzij dit wettelijk verboden is. Providers moeten ook technische maatregelen implementeren — waaronder encryptie en toegangscontroles — om onrechtmatige toegang te voorkomen, en deze maatregelen en de locaties van hun ICT-infrastructuur publiekelijk bekendmaken.

Wanneer de EU-klant de encryptiesleutels in eigen Europese infrastructuur beheert en de Amerikaanse provider deze nooit bezit, wordt het juridische conflict technisch irrelevant. Een CLOUD Act-verzoek uit de VS levert alleen ciphertext op — technisch conform (de provider verstrekt wat hij heeft) en tegelijk voldaan aan de technische maatregeleneis van de EU-datawet (de data is onleesbaar zonder sleutels die de provider niet bezit) en de aanvullende maatregeleneis van Schrems II in GDPR. De klantgestuurde encryptie van Kiteworks met FIPS 140-3 Level 1 gevalideerde encryptie levert deze architectuur over alle gevoelige communicatiekanalen — de technische oplossing voor een juridisch conflict dat geen enkel contract kan oplossen.

Aanvullende bronnen

Blog Post

  • eBook
    Datasoevereiniteit en GDPR
  • Blog Post
    Voorkom deze valkuilen bij datasoevereiniteit
  • Blog Post
    Datasoevereiniteit: beste practices
  • Blog Post
    Datasoevereiniteit en GDPR [Inzicht in gegevensbeveiliging]

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks