Nieuwe onthullingen over Amerikaanse cloudproviders confronteren Europa met een ongemakkelijke waarheid. Echte digitale soevereiniteit had het continent nooit en het pad ernaartoe is steil en politiek beladen.
IT-Business publiceerde begin juli 2025 een analyse waarin op basis van eigen onderzoek en citaten uit beleidsdocumenten duidelijk werd dat Amerikaanse hyperscalers als AWS, Microsoft, Google en Salesforce verplicht zijn om data aan de Amerikaanse overheid te overhandigen, ook wanneer die data fysiek in Europa worden opgeslagen. De bedrijven bevestigen openlijk dat zij zich moeten houden aan de extraterritoriale werking van de Amerikaanse CLOUD Act. Daarmee is opnieuw duidelijk geworden dat de locatie van data minder bepalend is dan de juridische zeggenschap over de infrastructuur waarop die data draaien.
Die zeggenschap beperkt zich niet tot opgeslagen informatie alleen, maar strekt zich ook uit tot de dienstverlening zelf. De controle over toegang tot communicatiediensten zoals e-mail, samenwerkingstools en identity management maakt het mogelijk dat bedrijven niet alleen gegevens verstrekken, maar ook toegang blokkeren of beperken wanneer politieke of juridische druk wordt uitgeoefend. Dat plaatst organisaties wereldwijd in een afhankelijke positie, zelfs wanneer de functionaliteit van die diensten juridisch buiten de Verenigde Staten lijkt te vallen.
Mail-blokkade bij Internationaal Strafhof
Een incident in mei van dit jaar toonde hoe ver de invloed van Amerikaanse wetgeving kan reiken. Microsoft blokkeerde op eigen initiatief de toegang tot de e-mail van Karim Khan, hoofdaanklager van het Internationaal Strafhof in Den Haag, nadat de Amerikaanse regering sancties had opgelegd aan hem en het ICC. De blokkade gebeurde zonder rechterlijke toetsing en riep wereldwijd vragen op over de onafhankelijkheid van digitale infrastructuur die door Amerikaanse bedrijven wordt geleverd. Voor Nederland, dat zowel ICT-voorloper als gastland van internationale rechtsinstellingen is, legt dit een fundamenteel spanningsveld bloot.
De kern van deze kwestie ligt in de juridische asymmetrie tussen de Europese Algemene Verordening Gegevensbescherming (AVG) en de Amerikaanse CLOUD Act. Waar de AVG stelt dat overdracht van persoonsgegevens aan derde landen alleen mag op basis van internationale verdragen of juridische samenwerking, verplicht de CLOUD Act Amerikaanse bedrijven juist om wereldwijd toegang te verlenen tot klantdata wanneer daartoe een bevel bestaat. Europese datacenters die technisch volledig aan AVG-standaarden voldoen, kunnen juridisch dus nog steeds onderhevig zijn aan buitenlandse inmenging.
De schijnzekerheid die ontstaat door het fysiek opslaan van gegevens in Europese datacenters van Amerikaanse bedrijven verdient kritische beschouwing. Veel organisaties nemen aan dat geografische opslag binnen de EU automatisch betekent dat data onder Europese bescherming valt. In werkelijkheid zegt de fysieke locatie weinig wanneer de juridische controle in handen is van een buitenlandse entiteit. De CLOUD Act richt zich immers op de nationaliteit en rechtspositie van de aanbieder, niet op de plaats van opslag. Dit betekent dat data in Frankfurt of Amsterdam zonder medeweten van de klant toegankelijk kan zijn voor Amerikaanse instanties. Vertrouwen op Europese datacenters als per definitie AVG-conform en geopolitiek neutraal is daardoor misplaatst.
Aanbestedingsregels vormen drempel
Het probleem reikt verder dan alleen opslag of service. Ook bij overheidsopdrachten speelt de afhankelijkheid van Amerikaanse bedrijven een rol. Europese aanbestedingsregels staan buitenlandse bedrijven zoals Microsoft of Amazon vaak niet uit te sluiten, zelfs niet wanneer die een vestiging in Europa hebben. Dat betekent dat Amerikaanse providers meedingen bij strategische digitale infrastructuur, terwijl Europa zich juist wil positioneren als autonoom. De Nederlandse overheid wees recent op deze uitdaging en pleitte voor EU-breed beleid dat digitale afhankelijkheid tegengaat en ruimte biedt voor Europese aanbieders zonder in strijd te zijn met internationale afspraken over open aanbesteding.
Tegelijk is er groeiende politieke steun voor het opnemen van ‘Buy European’-elementen in toekomstige aanbestedingsrichtlijnen, onder meer vanuit Europese commissarissen, die vinden dat kritieke sectoren zoals cloudinfrastructuur prioriteit moeten geven aan Europese aanbieders. Deze aanpak botst echter met bestaande internationale verplichtingen tegen discriminatie van buitenlandse bedrijven.
In dit spanningsveld voelt digitale autonomie al snel als symboolpolitiek. Critici, waaronder denktanks als het European Centre for International Political Economy (ECIPE) en het Center for Data Innovation, waarschuwen dat EU-initiatieven zoals GAIA-X of Europese cloudlabels vooral symbolisch blijven zolang ze geen daadwerkelijke marktkracht stimuleren of ruimte bieden voor technologische concurrentie.
Tegelijk vergen radicale voorstellen, zoals het weren van Amerikaanse aanbieders bij Europese infrastructuurprojecten, forse kosten en brengen ze risico’s mee voor interoperabiliteit en innovatie, zoals ook naar voren kwam in consultaties rondom de EU-cloudcertificeringsstandaard (EUCS). Diverse media, waaronder Politico en de Financial Times, signaleren bovendien dat het Europese debat over cloudsoevereiniteit soms meer lijkt op beleidsretoriek dan op praktische herpositionering van de markt.