De achterdeur naar de data van onze organisatie staat wagenwijd open

De zorgen over datasoevereiniteit zijn groter dan ooit. Nu de geopolitieke verhoudingen verschuiven, vragen steeds meer beleidsmakers zich af of gegevens wel veilig zijn bij Amerikaanse providers. Terecht dat we daarover discussiëren en zoeken naar alternatieven. Maar ik vrees dat we daarbij iets belangrijkers vergeten.

De discussies die ik aan overheidstafels meemaak gaan vrijwel uitsluitend over de CLOUD Act. Die wet biedt houvast: er is rechterlijke toetsing, bedrijven kunnen verzoeken aanvechten, en er valt te onderhandelen over verdragen en contractuele waarborgen. IBM deed dat succesvol en stuurde de Amerikaanse overheid weg. In vier jaar tijd ontving het bedrijf precies één CLOUD Act-verzoek voor Europese klanten.

FISA Section 702

Ondertussen staat de achterdeur naar onze data wagenwijd open. Die achterdeur heet Foreign Intelligence Surveillance Act, FISA Section 702, een wet uit 2008 die Amerikaanse inlichtingendiensten de bevoegdheid geeft om zonder rechterlijk bevel communicatie te verzamelen van niet-Amerikanen buiten de VS. Wij dus.

Het verschil is wezenlijk. Bij FISA is er geen individuele rechterlijke toetsing, maar slechts een jaarlijkse certificering door een geheime rechtbank. Techbedrijven zijn verplicht mee te werken en mogen klanten niet eens informeren dat er een verzoek is geweest. Hoeveel FISA-verzoeken er binnenkomen bij grote techbedrijven weten we per definitie niet. Waar de CLOUD Act gerichte opvragingen betreft, geeft FISA structurele toegang tot databases die vrijelijk doorzocht kunnen worden.

In april 2024 werd FISA flink uitgebreid. De definitie van wie verplicht kan worden mee te werken omvat nu vrijwel iedereen met toegang tot communicatieapparatuur. Het Europees Hof van Justitie begreep het risico. In 2020 verklaarde het Hof in Schrems II het Privacy Shield ongeldig, niet vanwege de CLOUD Act, maar vanwege FISA Section 702. De wet voldoet niet aan Europese grondrechten omdat hij niet proportioneel is en niet beperkt tot wat strikt noodzakelijk is.

Op 10 juni 2025 werd Anton Carniaux, juridisch directeur van Microsoft France, onder ede gehoord door de Franse Senaat. Toen ze hem vroegen of hij kon garanderen dat gegevens van Franse burgers nooit zonder toestemming aan de Amerikaanse overheid worden overgedragen, luidde zijn antwoord: nee. Microsoft kan beloven verzoeken aan te vechten en data binnen de EU te houden, maar als er een juridisch gefundeerd Amerikaans verzoek binnenkomt, moet het meewerken. Dit geldt voor alle Amerikaanse cloudproviders, die samen 70 procent van de Europese markt beheersen.

Geografische maatregelen helpen niet. Een datacenter in Amsterdam van een Amerikaans bedrijf biedt geen bescherming tegen FISA. Sterker nog, sinds de uitbreiding van 2024 gaat het niet alleen om waar data staat, maar ook om welke apparatuur het passeert. Contractuele waarborgen helpen evenmin: een provider kan wettelijk verplicht worden om die afspraken te negeren zonder dat je daar ooit achter komt.

Ik begrijp waarom we liever over de CLOUD Act praten. Er valt iets te doen. Bij FISA kunnen we niets, tenzij we Amerikaanse providers vermijden. Dat is een conclusie waar niemand op zit te wachten, want die vraagt om ingrijpende verandering.

Juvenalis-dilemma

Dit lijkt me een klassiek geval van het Juvenalis-dilemma: wie bewaakt de bewakers? Lange tijd konden we leven met het idee dat we op de Amerikanen konden bouwen. Dat landschap verandert in rap tempo. Ik weet niet wat juist is. Maar volgens mij moeten we wel een discussie voeren over het brede plaatje. We komen er niet vanaf met goed uitonderhandelde contracten die ons ontslaan van urgent ingrijpen in hoe we met informatie omgaan in onze publieke organisaties.

Martijn Aslander is oprichter van de PKM Summit en de Maand van de Digitale Fitheid. Daarnaast is hij initiatiefnemer van de pilot informatieautonomie.