Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Kan ik een in de VS gevestigde cloudprovider gebruiken als mijn data binnen de EU moet blijven?
Kan ik een in de VS gevestigde cloudprovider gebruiken als mijn data binnen de EU moet blijven?

Kan ik een in de VS gevestigde cloudprovider gebruiken als mijn data binnen de EU moet blijven?

by Danielle Barbour updated maart 9, 2026 AVG-naleving
Reading Time: 7 minutes

Het korte antwoord is: onder voorwaarden. Een in de VS gevestigde cloudprovider met EU-datacenters wordt niet automatisch uitgesloten van het hosten van gegevens van EU-ingezetenen — maar compliant gebruik vereist meer dan het kiezen van een serverregio in Frankfurt of Dublin. De meeste organisaties die denken deze vraag te hebben opgelost door geografische selectie, hebben dat niet. Ze hebben het adres van hun gegevens gewijzigd zonder de juridische blootstelling te veranderen.

Dit artikel behandelt drie vragen: of Amerikaanse providers überhaupt gebruikt kunnen worden, welke datacategorieën de strengste soevereiniteitsbeperkingen kennen, en welke waarborgen vereist zijn om een regeling daadwerkelijk compliant te maken.

Samenvatting voor Executives

Belangrijkste punt: In de VS gevestigde cloudproviders mogen wettelijk gezien alleen gegevens van EU-ingezetenen hosten als er specifieke technische en juridische waarborgen zijn — waarborgen die verder gaan dan alleen het kiezen van een EU-serverlocatie en het structurele probleem aanpakken dat de Amerikaanse wetgeving van toepassing is op Amerikaanse bedrijven, ongeacht waar hun servers zich bevinden. De US CLOUD Act en FISA Section 702 creëren een risico op overheidsinzage dat het EU-VS Data Privacy Framework niet wegneemt en dat Standaard Contractuele Clausules alleen niet kunnen ondervangen. De vereiste oplossing is architectonisch: door klantgestuurde encryptie met sleutels buiten de infrastructuur van de provider, is de provider technisch niet in staat om leesbare EU-gegevens te leveren, ongeacht juridische dwang.

Waarom dit relevant is: Europese gegevensbeschermingsautoriteiten hebben handhavingsbesluiten uitgevaardigd waarin wordt geoordeeld dat bepaalde regelingen met Amerikaanse cloudproviders in strijd zijn met de GDPR, ongeacht de serverlocatie. De NIS 2-richtlijn, DORA en sectorspecifieke nationale wetten leggen aanvullende soevereiniteitsverplichtingen op met boetes tot 4% van de wereldwijde omzet. Organisaties die hun regelingen met Amerikaanse providers niet hebben herzien op basis van de post-Schrems II-normen, lopen actief handhavingsrisico.

Belangrijkste inzichten

  1. Een EU-serverlocatie betekent geen EU-rechtsbevoegdheid. Het datacenter van een Amerikaanse provider in Frankfurt blijft via de bedrijfsstructuur onderhevig aan Amerikaanse juridische verzoeken. Geografie bepaalt waar gegevens zich bevinden; het bepaalt niet welke overheid toegang kan afdwingen.
  2. Het EU-VS Data Privacy Framework heft de CLOUD Act niet op. Het DPF biedt een overdrachtsmechanisme voor persoonsgegevens onder de GDPR — het verwijdert de verplichtingen uit de Amerikaanse surveillanceregels voor Amerikaanse providers niet. CLOUD Act-verzoeken blijven geldig, ongeacht deelname aan het DPF.
  3. Bepaalde datacategorieën kennen beperkingen die het gebruik van Amerikaanse providers zonder architectonische soevereiniteitsmaatregelen feitelijk verbieden. Gezondheidsgegevens onder nationale gezondheidswetten, financiële gegevens onder DORA, geclassificeerde overheidsgegevens en bepaalde categorieën persoonsgegevens die als hoog risico zijn aangemerkt onder GDPR Artikel 9, kennen allemaal beperkingen die generieke SCC-regelingen met Amerikaanse providers niet adequaat kunnen ondervangen.
  4. Compliant gebruik van een Amerikaanse provider vereist specifieke technische waarborgen, niet alleen juridische documentatie. Na Schrems II heeft de EDPB klantgestuurde encryptie met sleutels buiten de infrastructuur van de provider aangewezen als noodzakelijke technische aanvullende maatregel. Contractuele toezeggingen zijn onvoldoende als de Amerikaanse wetgeving providercompliance vereist, ongeacht contractvoorwaarden.
  5. Het architectonische alternatief is een single-tenant Europese inzet met klantgestuurde encryptie. Dit lost het CLOUD Act-probleem structureel op: de provider kan geen leesbare gegevens leveren omdat deze nooit over de sleutels beschikt — waardoor gelijktijdige naleving van Amerikaanse wettelijke verplichtingen en EU-gegevensbeschermingsvereisten technisch mogelijk wordt.

Een complete checklist voor GDPR-naleving

Lees nu

Het kernprobleem: rechtsbevoegdheid volgt het bedrijf, niet de server

De aanname achter veel “EU-datacenter”-regelingen is dat de fysieke locatie van gegevens de rechtsbevoegdheid bepaalt. Dat is niet zo. De US CLOUD Act (2018) verplicht Amerikaanse bedrijven om gegevens die zij beheren te overhandigen bij geldige overheidsverzoeken, ongeacht waar deze zijn opgeslagen. Een verzoek aan het hoofdkantoor van een Amerikaanse provider verplicht tot het leveren van gegevens van EU-servers. Het serveradres van de provider is irrelevant; de nationaliteit van het bedrijf bepaalt de reikwijdte van de Amerikaanse wet. FISA Section 702 breidt dit uit naar communicatiegegevens onder nationale veiligheidsautoriteiten. Geen van beide instrumenten vereist EU-conforme rechterlijke toetsing of klantnotificatie.

Dit is geen theoretisch risico. Oostenrijkse, Franse en Italiaanse gegevensbeschermingsautoriteiten hebben handhavingsbesluiten genomen waarin wordt geconcludeerd dat bepaalde Amerikaanse cloudregelingen in strijd zijn met de GDPR, juist omdat het CLOUD Act-risico niet adequaat werd ondervangen door de getroffen waarborgen.

Wat het EU-VS Data Privacy Framework wel en niet oplost

Veel organisaties gaan ervan uit dat het EU-VS Data Privacy Framework, aangenomen in 2023, het Schrems II-probleem heeft opgelost. Dat is niet het geval. Het DPF biedt een overdrachtsmechanisme onder GDPR Artikel 45 — een juridische basis voor het overdragen van EU-persoonsgegevens aan gecertificeerde Amerikaanse bedrijven. Wat het niet doet, is de US CLOUD Act opheffen. Amerikaanse providers die gecertificeerd zijn onder het DPF blijven wettelijk verplicht te voldoen aan geldige CLOUD Act-verzoeken. Het DPF beantwoordt de vraag of er een wettelijke basis is voor de overdracht; het beantwoordt niet de vraag of een Amerikaans overheidsverzoek de provider kan dwingen EU-gegevens te leveren.

Het DPF wordt bovendien juridisch aangevochten door NOYB — de organisatie die Privacy Shield in 2020 heeft laten schrappen. Organisaties die hun compliance volledig laten afhangen van DPF-certificering lopen hetzelfde risico op ongeldigverklaring als bij Privacy Shield. Klantgestuurde encryptie biedt bescherming die blijft bestaan, ongeacht de juridische status van een overdrachtsmechanisme, omdat de gegevens nooit feitelijk toegankelijk zijn voor de provider, ongeacht welk framework de overdracht regelt.

Welke datatypes de strengste soevereiniteitsbeperkingen kennen

Niet alle gegevens brengen hetzelfde soevereiniteitsrisico met zich mee. Vijf categorieën kennen de meest beperkende vereisten onder EU- en nationale kaders.

Speciale categorie persoonsgegevens (GDPR Artikel 9). Gezondheids-, biometrische, genetische en andere gevoelige categorieën vereisen een specifieke juridische grondslag bovenop de standaard GDPR-gronden, en overdrachten moeten zowel voldoen aan Hoofdstuk V als aan de grondslag van Artikel 9 — een dubbele vereiste die generieke SCC-regelingen vaak niet ondervangen.

Gezondheids- en patiëntgegevens. Nationale gezondheidswetten leggen strengere beperkingen op dan de GDPR. Frankrijk vereist dat gezondheidsgegevens worden verwerkt op infrastructuur onder Franse soevereiniteit. Duitsland stelt vergelijkbare eisen aan patiëntgegevens. Diverse nationale kaders verbieden het gebruik van Amerikaanse providers voor gezondheidsgegevens zonder soevereiniteitsmaatregelen op infrastructuurniveau, ongeacht SCC-regelingen.

Gegevens uit de financiële sector. DORA (operationeel vanaf januari 2025) vereist dat financiële entiteiten en hun ICT-leveranciers contractuele bepalingen opnemen over datalokalisatie, sleutelbeheer en exitstrategieën. De EBA-uitbestedingsrichtlijnen vereisen gedocumenteerde soevereiniteitsbeoordelingen. EU-financiële instellingen die Amerikaanse cloudproviders gebruiken zonder adequaat sleutelbeheer zijn momenteel niet compliant.

Overheids- en defensiegerelateerde gegevens. Geclassificeerde gegevens, gegevens van defensie-aannemers en gegevens die onder nationale publieke cloudbeleid vallen, mogen vaak wettelijk niet worden verwerkt op infrastructuur van Amerikaanse bedrijven, ongeacht het overdrachtsmechanisme. De meeste EU-lidstaten hebben expliciete beperkingen op het verwerken van overheidsgegevens via niet-Europese providers.

Operationele gegevens van kritieke infrastructuren. NIS 2 Artikel 21 vereist dat exploitanten van essentiële diensten — energie, transport, zorgprocessen, water, financiële en digitale infrastructuur — de soevereiniteitspositie van cloudproviders beoordelen als onderdeel van verplichte beveiliging van de toeleveringsketen. De acceptabele drempel voor CLOUD Act-blootstelling is in deze contexten aanzienlijk hoger dan voor algemene commerciële gegevens.

Vereiste technische en juridische waarborgen

Voor organisaties die vaststellen dat een regeling met een Amerikaanse provider compliant kan worden gemaakt, zijn vier waarborgen vereist.

Transfer Impact Assessment met eerlijke CLOUD Act-beoordeling. Een TIA waarvan de conclusie is gebaseerd op technische maatregelen, niet op contractuele toezeggingen. Een TIA die het CLOUD Act-risico erkent maar vertrouwt op notificatieprocedures als beperking, voldoet niet aan de post-Schrems II-norm — de beoordeling moet concluderen dat een geldig verzoek niet leidt tot het leveren van leesbare EU-gegevens, en die conclusie moet architectonisch onderbouwd zijn.

Klantgestuurde encryptie met sleutels buiten de infrastructuur van de provider. De EDPB-aanbevelingen 01/2020 wijzen dit aan als vereiste technische aanvullende maatregel: door de klant gegenereerde sleutels die in HSM’s onder exclusieve controle van de EU-klant blijven, nooit in handen van de Amerikaanse provider. Zonder deze maatregel kan geen enkele TIA die het CLOUD Act-risico erkent, geldig concluderen dat de overdracht voldoende is beschermd.

Handhaving van dataresidentie op infrastructuurniveau. Contractuele datalokalisatieclausules zijn contractuele aanvullende maatregelen. Beleidsmatig afgedwongen geofencing die voorkomt dat gegevens de aangewezen EU-regio’s verlaten, ongeacht configuratie, is een technische maatregel. Na Schrems II is dit onderscheid van belang voor de beoordeling door toezichthouders.

Onveranderlijke audit logs en voortdurende verantwoordingsdocumentatie. Het GDPR-verantwoordingsbeginsel vereist voortdurende aantoonbaarheid van compliance. Onveranderlijke audit logs, sleutelbeheerregistraties en regelmatig beoordeelde TIA’s zijn de minimumnorm. Voor DORA en NIS 2 moet deze documentatie op verzoek beschikbaar zijn voor toezichthouders.

Hoe Kiteworks compliant EU-gegevenssoevereiniteit levert

Het Kiteworks Private Data Network pakt het structurele probleem direct aan. Single-tenant inzet op de door de EU-klant gekozen locatie — on-premises, Europese private cloud of door Kiteworks gehoste EU-infrastructuur — plaatst gegevens onder Europese rechtsbevoegdheid in plaats van onder Amerikaanse bedrijfscontrole. Klantgestuurde encryptie (BYOK/BYOE) met FIPS 140-3 Level 1 gevalideerde encryptie betekent dat Kiteworks nooit over klantensleutels beschikt: een CLOUD Act-verzoek levert alleen ciphertext op. De TIA-conclusie is architectonisch onderbouwd — Kiteworks is technisch niet in staat leesbare gegevens te leveren, en is niet alleen contractueel verplicht deze te beschermen. Beleidsmatig afgedwongen geofencing implementeert dataresidentie op infrastructuurniveau over alle kanalen — e-mail, bestandsoverdracht, MFT, webformulieren en API’s. Het CISO-dashboard biedt onveranderlijke audit logs van elke gegevensbeweging. Vooraf geconfigureerde compliance-rapportages voor GDPR, NIS 2, DORA en ISO 27001 ondersteunen voortdurende verantwoordingsplicht en beantwoording van toezichthouders over de datacategorieën met de strengste soevereiniteitsvereisten.

Wilt u de specifieke eisen rond gegevenssoevereiniteit van uw organisatie bespreken en hoe Kiteworks hieraan voldoet, plan dan vandaag nog een persoonlijke demo.

Veelgestelde vragen

Nee. Het kiezen van een EU-datacenterregio verandert alleen waar gegevens fysiek worden opgeslagen; het verandert niet welke overheid er wettelijk toegang tot kan eisen. De US CLOUD Act is van toepassing op in de VS gevestigde providers, ongeacht de serverlocatie — een geldig verzoek verplicht tot het leveren van gegevens van EU-servers via de bedrijfsstructuur van de provider. Voldoen aan EU-gegevenssoevereiniteitsvereisten bij Amerikaanse providers vereist klantgestuurde encryptie met sleutels buiten de infrastructuur van de provider, niet alleen het kiezen van een EU-regio.

Nee. Het DPF biedt een overdrachtsmechanisme onder GDPR Artikel 45 — een juridische basis voor het overdragen van EU-persoonsgegevens aan gecertificeerde Amerikaanse bedrijven. Het heft de US CLOUD Act niet op en beperkt deze ook niet. Amerikaanse providers die gecertificeerd zijn onder het DPF blijven wettelijk verplicht te voldoen aan geldige CLOUD Act-verzoeken. Het DPF beantwoordt de vraag over het overdrachtsmechanisme; het beantwoordt niet of een Amerikaans overheidsverzoek de provider kan dwingen EU-gegevens te leveren. Het DPF wordt bovendien juridisch aangevochten en kan ongeldig worden verklaard, zoals Privacy Shield in 2020 — waardoor architectonische soevereiniteitsmaatregelen duurzamer zijn dan alleen vertrouwen op het DPF.

Vijf categorieën kennen de strengste vereisten: speciale categorie persoonsgegevens onder GDPR Artikel 9; patiënt- en gezondheidsgegevens onder nationale kaders (Frankrijk, Duitsland en anderen); gegevens uit de financiële sector onder DORA en EBA-uitbestedingsrichtlijnen; overheids- en defensiegerelateerde gegevens onder nationale publieke cloudbeleid; en operationele gegevens van kritieke infrastructuren onder NIS 2-vereisten voor beveiliging van de toeleveringsketen. Voor overheids- en gezondheidsgegevens kan het gebruik van Amerikaanse providers feitelijk verboden zijn zonder soevereiniteitsmaatregelen op infrastructuurniveau, ongeacht het overdrachtsmechanisme of contractuele afspraken.

Na Schrems II zijn de minimaal vereiste waarborgen: een Transfer Impact Assessment met een eerlijke beoordeling van US CLOUD Act- en FISA 702-blootstelling, met een conclusie gebaseerd op technische maatregelen; klantgestuurde encryptie met sleutels die uitsluitend buiten de infrastructuur van de provider worden beheerd (de door de EDPB vereiste technische aanvullende maatregel); handhaving van dataresidentie op infrastructuurniveau in plaats van alleen contractuele datalokalisatie; en onveranderlijke audit logs ter ondersteuning van voortdurende GDPR-verantwoordingsplicht. Organisaties die alleen contractuele waarborgen hebben getroffen — standaard contractuele clausules, DPA’s, notificatieverplichtingen — zonder de architectonische laag, voldoen niet aan de post-Schrems II-norm, ongeacht de volledigheid van de documentatie.

Voor bepaalde datacategorieën en organisatieprofielen wel. Overheidsgegevens die onder nationale soevereiniteitsbeleid vallen, gezondheidsgegevens onder strenge nationale kaders en gegevens die geclassificeerd zijn onder veiligheidswetgeving vereisen mogelijk Europese infrastructuur, ongeacht de technische waarborgen die een Amerikaanse provider biedt. Voor deze organisaties is single-tenant inzet op Europese infrastructuur — via een Europese cloudprovider, on-premises of via een platform zoals Kiteworks op EU-gecontroleerde infrastructuur — de juiste oplossing. De architectonische maatregelen van Kiteworks (klantgestuurde encryptie, single-tenant inzet, beleidsmatig afgedwongen geofencing) zijn beschikbaar in alle inzetmodellen, inclusief volledig Europese varianten die Amerikaanse bedrijfscontrole volledig uitsluiten.

Aanvullende bronnen

  • Blog Post
    Gegevenssoevereiniteit: een best practice of wettelijke verplichting?
  • eBook
    Gegevenssoevereiniteit en GDPR
  • Blog Post
    Voorkom deze valkuilen rond gegevenssoevereiniteit
  • Blog Post
    Beste practices voor gegevenssoevereiniteit
  • Blog Post
    Gegevenssoevereiniteit en GDPR [Inzicht in gegevensbeveiliging]

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks