Amerikaanse sovereine cloud oplossingen.

Het Soevereine vacuüm een technisch juridisch bewijsdossier inzake de ineffectiviteit van Amerikaanse “Sovereine Cloud” oplossingen onder de U.S. CLOUD Act en FISA § 702

Deel I: Het Juridisch Kader van Extraterritoriale Toegang

Inleiding: De Illusie van Datalocatie

Dit dossier legt de fundamentele juridische en technische frictie bloot tussen het Europese rechtskader voor databescherming, verankerd in de Algemene Verordening Gegevensbescherming (AVG), en de extraterritoriale reikwijdte van Amerikaanse surveillance- en wetshandhavingswetgeving. Het demonstreert waarom de fysieke locatie van data (dataresidentie) geen effectieve bescherming biedt wanneer de controlerende entiteit van de cloud-serviceprovider (CSP) onder Amerikaanse jurisdictie valt.¹

De juridische context wordt gedomineerd door de Schrems II-uitspraak van het Hof van Justitie van de Europese Unie (HvJ-EU C-311/18). In deze zaak invalideerde het Hof het EU-VS Privacy Shield-verdrag.³ De kern van de uitspraak was de vaststelling dat het Amerikaanse recht, met name de bevoegdheden onder Sectie 702 van de Foreign Intelligence Surveillance Act (FISA), geen beschermingsniveau biedt dat “essentieel equivalent” is aan dat van de EU. Cruciaal was de vaststelling dat Amerikaanse surveillanceprogramma’s niet proportioneel zijn en dat EU-burgers geen effectieve rechtsmiddelen (judicial redress) ter beschikking staan om zich tegen deze surveillance te verweren.⁴

De marketing van Amerikaanse hyperscalers (Microsoft, Amazon Web Services, Google) richt zich op “Sovereign Cloud”-oplossingen die data binnen de EU houden. Dit dossier toont aan dat deze oplossingen de fundamentele juridische verplichtingen waaraan elke Amerikaanse provider onderworpen blijft, niet kunnen neutraliseren.

De Onontkoombare Reikwijdte van de U.S. CLOUD Act (18 U.S.C. § 2701 e.v.)

De Clarifying Lawful Overseas Use of Data Act (CLOUD Act), aangenomen in 2018, formaliseert de bevoegdheden van Amerikaanse wetshandhavingsinstanties om data op te vragen bij Amerikaanse providers.

De analyse van de wettekst, specifiek 18 U.S.C. § 2713, toont de expliciete extraterritoriale reikwijdte. De wet stelt dat providers data moeten overleggen die in hun “possession, custody, or control” zijn, ongeacht de fysieke opslaglocatie (“regardless of whether such communication, record, or other information is located within or outside of the United States”).⁵

Deze interpretatie wordt bevestigd door zowel Amerikaanse als Europese instanties. Het Amerikaanse Department of Justice (DoJ) stelde in een whitepaper dat de CLOUD Act geen nieuwe bevoegdheid creëert, maar een codificatie is van het “lang gevestigde Amerikaanse en internationale principe” dat een bedrijf data moet produceren die het “controleert”, ongeacht de opslaglocatie.⁷ Eurojust, het agentschap van de Europese Unie voor justitiële samenwerking, onderschrijft dit. Eurojust rapporteert dat de CLOUD Act “de verplichting van Amerikaanse dienstverleners om gegevens waarover zij controle hebben te bewaren en te produceren, ongeacht waar deze zijn opgeslagen, expliciet maakt”.¹⁰

De juridische plicht hangt af van het abstracte concept “control”, niet van fysieke opslag. Een Amerikaanse moedermaatschappij (bv. Alphabet Inc., Microsoft Corp., Amazon.com, Inc.) oefent per definitie “control” uit over haar EU-dochterondernemingen en de infrastructuur die zij beheren. De jurisdictie volgt de provider, niet de data.¹ Hoewel de CLOUD Act primair een wetshandhaving instrument is voor strafrechtelijke onderzoeken ¹⁰ en een (zeer beperkt) mechanisme biedt om een bevel aan te vechten via een ‘comity analysis’ ⁷, vormt het een significant risico. Dit risico wordt echter overschaduwd door de veel verdergaande en geheime bevoegdheden onder FISA.

FISA § 702 (50 U.S.C. § 1881a): De Motor van Inlichtingen Vergaring

FISA § 702 is, in tegenstelling tot de CLOUD Act, geen strafrechtelijk instrument, maar een wet voor inlichtingen vergaring.12 Dit is de wet die centraal stond in de Schrems II-zaak.

Het doel en de reikwijdte van FISA § 702 zijn expliciet gericht op niet-Amerikanen. De wet autoriseert “targeted surveillance of foreign persons located outside the United States” met als doel het verzamelen van “foreign intelligence information”.¹³ EU-overheden, -bedrijven en -burgers zijn per definitie de beoogde doelwitten van deze wet.

De kern van de Schrems II-problematiek ligt in de clausule voor “Compelled Assistance” (gedwongen medewerking). De wet staat de Attorney General en de Director of National Intelligence (DNI) toe om een “electronic communication service provider” (ECSP) te dwingen om “immediately provide the Government with all information, facilities, or assistance necessary to accomplish the acquisition”.¹⁵

Deze bevoegdheid kent geen individualiseerde rechterlijke toetsing. In tegenstelling tot traditionele warrants, vereist Sectie 702 geen ‘probable cause’ per doelwit. Het gespecialiseerde Foreign Intelligence Surveillance Court (FISC) keurt “programmatic pre-clearance” goed.¹² Dit geeft de inlichtingendiensten toestemming om brede categorieën van doelen te surveilleren. Dit disproportionele karakter en het gebrek aan specifieke, onafhankelijke rechterlijke toetsing vooraf was een hoofdpunt in de Schrems II-zaak.⁴

Bovendien is de provider onderworpen aan een dwingende geheimhoudingsplicht (‘gag order’). De medewerking moet worden verleend “in a manner that will protect the secrecy of the acquisition”.¹⁵ De provider mag de klant (bv. een Nederlandse overheidsinstelling) niet informeren over het feit dat hun data worden onderschept.

Juridische Synthese: Het Tweefronten-Risico

De CLOUD Act en FISA § 702 vormen twee verschillende maar complementaire risico’s. De CLOUD Act is het (relatief) transparante strafrechtelijke spoor, dat in theorie kan worden aangevochten.⁷ FISA § 702 is het geheime, programmatische inlichtingen spoor, dat de kern vormde van de Schrems II-zaak.

De marketing van “Sovereign Cloud”-oplossingen richt zich vaak impliciet op het CLOUD Act-risico, door te suggereren dat ‘comity’ of lokale wetgeving hen beschermt. Dit is een juridische afleidingsmanoeuvre (‘red herring’). Zelfs als een provider zou beweren een CLOUD Act-verzoek aan te vechten, biedt dit geen enkele bescherming tegen een FISA § 702-bevel. Een dergelijk bevel is gericht op inlichtingen, vereist geen ‘probable cause’ ¹², en komt met een dwingende geheimhoudingsplicht.¹⁵

De provider kan en mag de klant niet informeren en kan het bevel niet op dezelfde gronden aanvechten. Technische oplossingen die worden gepresenteerd als “soeverein” moeten daarom getoetst worden aan dit meest ingrijpende, geheime en onontkoombare bevel tot “gedwongen medewerking”.

Deel II: Deconstructie van Technische Tegenmaatregelen

Het EDPB-Perspectief: De “Data-in-Clear” Kwetsbaarheid

Na de Schrems II-uitspraak publiceerde het Europees Comité voor gegevensbescherming (EDPB) Aanbevelingen 01/2020 over aanvullende maatregelen.¹⁸ De EDPB stelde vast dat contractuele maatregelen (zoals Standard Contractual Clauses) alleen niet volstaan om te beschermen tegen disproportionele overheids surveillance.²⁰ Er zijn effectieve technische aanvullende maatregelen vereist.

De EDPB definieert in deze aanbevelingen scenario’s (‘Use Cases’) om de effectiviteit van maatregelen te toetsen. De meest relevante voor clouddiensten zijn Use Case 6 en 7.

Use Case 6: “Transfer to cloud services providers or other processors which require access to data in the clear”.¹⁹ Dit scenario beschrijft de facto elke moderne Software-as-a-Service (SaaS) of Platform-as-a-Service (PaaS) dienst. Om e-mail te filteren, documenten te indexeren voor zoekopdrachten, gelijktijdige bewerking (co-authoring) mogelijk te maken, of data te gebruiken voor AI-training, moet de provider toegang hebben tot de onversleutelde data (“data in the clear” of “data-in-use”).²²

In dit cruciale scenario, waarin de provider toegang tot onversleutelde data nodig heeft om de dienst te leveren, en de wetgeving in het derde land problematisch is (zoals FISA § 702), concludeert de EDPB:

“…the EDPB is, considering the current state of the art, incapable of envisioning an effective technical measure to prevent that access from infringing on the data subject’s fundamental rights.”.19 Deze vaststelling vormt de juridische basis voor de ‘soevereiniteit paradox’: in een cloud die wordt beheerd door een Amerikaanse provider, kan men ofwel functionaliteit hebben (waarbij data onversleuteld wordt verwerkt en dus kwetsbaar is voor FISA) ofwel effectieve encryptie (waarbij alle moderne cloud-functionaliteit wordt uitgeschakeld).

Bring Your Own Key (BYOK): Een Kwestie van Gedeeld Vertrouwen

In een BYOK-model genereert de klant een cryptografische sleutel, maar uploadt deze vervolgens naar de Key Management Service (KMS) van de cloudprovider. De provider beheert de sleutel, zij het vaak binnen een Hardware Security Module (HSM).²⁴

De juridische zwakte is evident: de sleutel bevindt zich in de infrastructuur van de provider en valt daarmee onder diens “possession, custody, or control”. BYOK is een ‘partial trust’-model.²⁴ Een FISA-bevel tot “compelled assistance” ¹⁵ kan en zal de provider dwingen om de sleutel (die zij beheren) te gebruiken om de data van de klant te ontsleutelen en de plaintext over te dragen. BYOK biedt in het beste geval een audit-spoor (de klant kan zien dat de sleutel is gebruikt, tenzij de logs op bevel worden onderdrukt), maar biedt geen preventie. Het faalt volledig als bescherming tegen een geheim FISA-bevel.

Hardware Security Modules (HSMs): Het Verschil tussen “Export” en “Gebruik”

Providers benadrukken dat hun sleutelbeheer diensten (zoals AWS CloudHSM en Azure Managed HSM) FIPS 140-3 Level 3 gevalideerd zijn.²⁵ Een kerneigenschap van deze validatie is dat sleutels als “non-exportable” kunnen worden gemarkeerd.²⁷ Dit betekent dat de sleutel de cryptografische grens van de HSM fysiek niet kan verlaten. Dit wordt gepresenteerd als de ultieme garantie.

Deze garantie faalt echter door een foutieve interpretatie van het dreigingsmodel. De dreiging is niet diefstal van de sleutel, maar rechtmatig gedwongen gebruik door de eigenaar van de HSM. De “Compelled Use” aanvalsvector is als volgt:

1. Een Amerikaanse inlichtingendienst dient een FISA § 702-bevel in bij de CSP (bv. Microsoft). Het bevel eist “assistance” ¹⁵ bij het verkrijgen van data van een EU-doelwit.
2. De data van de klant zijn versleuteld met een “non-exportable” sleutel in de FIPS 140-3 HSM van Microsoft.²⁶
3. De inlichtingendienst vraagt niet om de sleutel (wat technisch onmogelijk is). Zij dwingen Microsoft om de cryptografische operatie (bv. een ontsleutelingsfunctie) binnen de HSM uit te voeren, met gebruik van de ‘non-exportable’ sleutel.
4. De HSM voert de ontsleuteling uit en retourneert de plaintext data aan de applicatielaag van de provider.
5. Microsoft, nog steeds onder het bevel tot “assistance”, draagt deze plaintext data over aan de inlichtingendienst.
6. De provider heeft voldaan aan het FISA-bevel en tegelijkertijd voldaan aan FIPS 140-3 (de sleutel is nooit geëxporteerd). De vertrouwelijkheid van de EU-data is echter volledig geschonden.

HSMs beschermen tegen hackers of malafide medewerkers die de sleutel willen stelen, maar bieden geen bescherming tegen de eigenaar van de HSM (de Amerikaanse provider) die juridisch gedwongen wordt de sleutel te gebruiken.

Hold Your Own Key (HOYK) en Double Key Encryption (DKE): De Soevereiniteitsparadox

Het Hold Your Own Key (HOYK)-model is technisch het sterkste. De klant beheert de sleutel exclusief op zijn eigen locatie (on-premise), buiten de infrastructuur van de cloudprovider.²⁹ De provider heeft nooit toegang tot de sleutel.

Microsoft’s Double Key Encryption (DKE) is een implementatie van dit principe. Het gebruikt twee sleutels: één beheerd door Microsoft (in Azure) en één exclusief beheerd door de klant.³¹ Om de data te ontsleutelen, zijn beide sleutels vereist.³² Omdat Microsoft de tweede sleutel niet heeft, kan het de data niet ontsleutelen, zelfs niet onder een FISA-bevel.

Dit lijkt een effectieve oplossing, maar het bevestigt exact de ‘Data-in-Use’ valkuil die de EDPB in Use Case 6 identificeerde.¹⁹ De centrale vraag is wat er gebeurt wanneer deze data in de cloud moeten worden bewerkt.

Microsofts eigen DKE-whitepaper geeft het onomwonden antwoord.³³ Omdat de cloudprovider (Microsoft) geen toegang heeft tot de tweede sleutel, kunnen de cloud-services (SharePoint Online, Exchange Online, etc.) de data niet lezen. De directe gevolgen, zoals gedocumenteerd door Microsoft, zijn dat DKE fundamentele cloud-functionaliteit uitschakelt ³³:

• Documenten worden niet geïndexeerd en kunnen niet worden doorzocht (fataal voor eDiscovery).
• Gelijktijdig bewerken (co-authoring) is niet mogelijk.
• Documenten kunnen niet in Office Online worden weergegeven; ze moeten lokaal worden gedownload om te worden geopend.
• Server-side anti-malware scans en Data Loss Prevention (DLP) werken niet.

HOYK/DKE is een effectieve technische maatregel tegen overheids toegang, maar het reduceert de cloud tot een dure, niet-functionele harde schijf. Het is fundamenteel onverenigbaar met het gebruik van moderne, cloud-native diensten ³⁰ en lost de soevereiniteit paradox niet op: het dwingt een keuze tussen veiligheid en functionaliteit.

Tabel 1: Vergelijkende Analyse Encryptie & Sleutelbeheer Modellen

Deel III: Analyse van “Sovereign Cloud”-Proposities van Amerikaanse Hyperscalers

Gewapend met de juridische (Deel I) en technische (Deel II) analyses, deconstrueert dit deel de specifieke marketingproposities van de drie grote Amerikaanse hyperscalers.

Casestudy: AWS European Sovereign Cloud en het Nitro System

Amazon Web Services (AWS) heeft de “AWS European Sovereign Cloud” aangekondigd als een “onafhankelijke cloud voor Europa”.³⁵ De kern van hun soevereiniteitsclaim is het AWS Nitro System, een combinatie van gespecialiseerde hardware en software die de hypervisor vormt.³⁶

AWS claimt dat het Nitro System een “strong physical and logical security boundary” creëert die is ontworpen om toegang te voorkomen. De bewering is dat “nobody, including AWS employees, can access customer data… including in fulfillment of a law enforcement request”.³⁶ AWS stelt dat er geen mechanisme is voor operators om in te loggen op hosts of het geheugen van instances te benaderen, en dat administratieve API’s geen toegang tot data geven. Dit wordt ondersteund door een audit van de NCC Group.³⁶

Deze claim richt zich op een technische beveiliging, maar negeert de juridische aanvalsvector. De juridische entiteit, Amazon.com, Inc. in de VS, is onderworpen aan FISA § 702.³⁷ De kwetsbaarheid is de “Gedwongen Architectuur-Compromis” (Compelled Architecture Compromise):

1. Een FISA § 702-bevel tot “compelled assistance” ¹⁵ wordt betekend aan de moedermaatschappij Amazon.com, Inc. in de VS.
2. De inlichtingendienst dwingt Amazon om een geheime, kwaadaardige update te ontwikkelen en te distribueren voor de Nitro-firmware of -hypervisor die draait in de “European Sovereign Cloud”.
3. Deze update creëert een ‘backdoor’ of een exfiltratie-kanaal dat de door AWS zelf ontworpen beveiligingen ³⁶ omzeilt.
4. Vanwege de dwingende geheimhoudingsplicht ¹⁵ kan Amazon dit niet openbaar maken. De audit van de NCC Group ³⁶ is waardeloos, aangezien deze alleen de niet-gecompromitteerde (benigne) versie van de software en hardware heeft geanalyseerd.
5. De “soevereine” cloud is nu een instrument van de Amerikaanse inlichtingendienst, juist omdat de Amerikaanse moedermaatschappij de architectuur en de software-updates controleert.

De technische beveiliging van Nitro biedt bescherming tegen externe bedreigingen, maar biedt geen juridische immuniteit tegen de eigenaar van de technologie zelf, die gedwongen kan worden zijn eigen beveiliging te saboteren.³⁷ De bewering van AWS dat zij sinds 2020 geen enterprise data hebben overgedragen ³⁸ is misleidend, aangezien FISA-verzoeken geheim zijn en de resulterende data-acquisitie mogelijk niet als een ‘overdracht’ in een transparantierapport wordt geclassificeerd.

Casestudy: Microsoft Cloud for Sovereignty (MCfS)

Het is relevant om eerst het falen van Microsofts eerdere poging, de “Microsoft Cloud Germany” (MCG), te benoemen. Dit model (gestopt in 2022) gebruikte T-Systems (Deutsche Telekom) als een onafhankelijke “data trustee”.³⁹ Het model faalde, officieel wegens “lage klant interesse” ⁴⁰, wat de complexiteit en het gebrek aan levensvatbaarheid van dergelijke ’trustee’-modellen aantoont.

De nieuwe “Microsoft Cloud for Sovereignty” (MCfS) is geen aparte, onafhankelijke cloud. Het is een set van “guardrails, policy, tooling, and automation” (beleidskaders, tools en automatisering) ⁴¹ die bovenop de standaard hyperscale public cloud van Azure draaien. Het kernconcept is de “Sovereign Landing Zone” (SLZ).⁴²

Een SLZ is in essentie een configuratie (een set beleidsregels) binnen de standaard Azure-omgeving.³⁹ Het dwingt dataresidentie af en moedigt het gebruik aan van de (zoals aangetoond, gebrekkige) BYOK- en HSM-diensten.⁴³ Dit model biedt geen enkele fundamentele juridische scheiding. De entiteit die de dienst levert is nog steeds Microsoft, een Amerikaans bedrijf. De infrastructuur is de standaard Azure-infrastructuur. MCfS faalt derhalve om exact dezelfde redenen als uiteengezet in Deel II: het is een beleidsmatige oplossing voor een juridisch probleem en biedt geen bescherming tegen de CLOUD Act of FISA § 702.

Casestudy: De Partner-Modellen (Google/S3NS, Google/T-Systems)

Deze constructie is de meest geavanceerde poging tot soevereiniteit. Amerikaanse providers (Google, Microsoft) werken samen met een lokaal EU-bedrijf dat als operator fungeert (bv. T-Systems in Duitsland ⁴⁴, Bleu (Microsoft/Orange/Capgemini) in Frankrijk ⁴⁶, en S3NS in Frankrijk).

De S3NS-casus (Google/Thales) is het meest robuuste voorbeeld. S3NS is een Frans bedrijf, waarvan de meerderheid (75%+) in handen is van het Franse defensie- en technologiebedrijf Thales.⁴⁷ Het streeft naar het Franse SecNumCloud-label, dat expliciet immuniteit tegen niet-EU-wetgeving vereist.⁴⁸ S3NS opereert op een “separate infrastructure” met “servers controlled and operated by the new company”.⁴⁹ Dit model lijkt het juridische eigendom probleem op te lossen.

De resterende, fatale kwetsbaarheid is echter de technologische afhankelijkheid. S3NS levert “de kracht van Google Cloud Platform (GCP)”.⁵⁰ De onderliggende technologie de software, de architectuur, de patches en de updates wordt geleverd en gelicentieerd door Google (Alphabet Inc., een Amerikaans bedrijf).

Dit creëert de “Onderliggende Technologie” (Software Supply Chain) aanvalsvector:

1. Een FISA § 702-bevel ¹⁵ wordt betekend aan Google in de VS.
2. Het bevel dwingt Google “assistance” te verlenen om toegang te krijgen tot data op het S3NS-platform.
3. Google wordt gedwongen een verborgen kwetsbaarheid of ‘backdoor’ in te bouwen in de volgende reguliere software-update van de GCP-stack.
4. Deze update wordt via de normale licentie- en patch-kanalen naar S3NS gedistribueerd. S3NS (de Franse operator) heeft geen realistische mogelijkheid om deze kwaadaardige code te detecteren zonder de gehele, extreem complexe en propriëtaire stack van Google te reverse-engineeren.
5. De “separate infrastructure” ⁴⁹ wordt gecompromitteerd via de software supply chain, die nog steeds gecontroleerd wordt door de Amerikaanse entiteit.

Hoewel partnermodellen de juridische eigendomsoverdracht regelen, doorbreken ze de technologische afhankelijkheid niet. Deze afhankelijkheid blijft een vector voor gedwongen medewerking onder FISA § 702.

Tabel 2: Jurisdictionele Analyse “Sovereign Cloud” Aanbiedingen

Deel IV: Beleidsimplicaties voor Nederland en de Europese Unie

De Spagaat van de Nederlandse Digitalisering Strategie (NDS)

De in dit dossier blootgelegde risico’s creëren een directe spanning met de Nederlandse Digitalisering Strategie (NDS) 2023-2024. De NDS identificeert “Cloud” als een van de zes digitale prioriteiten voor de overheid.⁵¹ De Rijksoverheid is reeds een grootschalige afnemer van deze diensten, bijvoorbeeld via de inkoop van Microsoft 365-licenties via Shared Service Organisaties zoals SSC-ICT.⁵³

Tegelijkertijd is de Nederlandse overheid zich terdege bewust van het soevereiniteit risico. In beleidsstukken en Kamerbrieven wordt de zorg erkend dat, zelfs bij opslag in de EU, “de juridische controle vaak onder Amerikaanse wetgeving valt” en “het risico ontstaat dat de Amerikaanse overheid toegang kan krijgen tot privacygevoelige gegevens”.⁵⁴

Het Non-paper ‘Strengthening cloud sovereignty of public administrations’ van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK), aangenomen in juli 2025, vormt een directe beleidsmatige bevestiging van de analyse in dit dossier.⁵⁵ Dit non-paper stelt officieel de Nederlandse positie dat de afhankelijkheid van een klein aantal niet-EU leveranciers “substantial risks to (national) security” (substantiële risico’s voor de (nationale) veiligheid) oplevert.⁵⁷

Cruciaal is dat Nederland in dit document pleit voor een soevereiniteit definitie die waarborgt dat “other jurisdictions cannot influence its data, operations, infrastructure components and technology” (andere jurisdicties geen invloed kunnen uitoefenen op data, operaties, infrastructuur componenten en technologie).⁵⁷

De Nederlandse overheid opereert hiermee onder een erkende contradictie. De ambitie van de NDS (snel cloud adopteren) staat haaks op de officiële risicoanalyse van BZK. Dit bewijsdossier levert de technisch-juridische onderbouwing dat de analyse van BZK ⁵⁷ correct is en dat de huidige NDS-afhankelijkheid van Amerikaanse hyperscalers ⁵³ onhoudbaar is, indien soevereiniteit (gedefinieerd als ‘geen buitenlandse invloed’) het beleidsdoel is.

Het Europese Soevereiniteit Debat: De Strijd om de EUCS

De hier geanalyseerde problematiek wordt op Europees niveau uitgevochten in het debat over de European Cybersecurity Certification Scheme for Cloud Services (EUCS).⁵⁸ De controverse spitst zich toe op de vereisten voor het hoogste betrouwbaarheidsniveau (“high” of “high+”).

Lidstaten zoals Frankrijk (via de privacytoezichthouder CNIL) eisen dat dit hoogste niveau immuniteit criteria bevat.⁵⁹ Deze criteria omvatten ⁶⁰:

1. EU-hoofdkantoor: De provider moet zijn “registered head office and global headquarters” in een EU-lidstaat hebben.
2. EU-Operatie: Data moet exclusief in de EU worden opgeslagen en beheerd.
3. Immuniteit tegen niet-EU wetgeving: De provider moet aantonen juridisch immuun te zijn voor buitenlandse wetgeving (zoals de CLOUD Act en FISA).

De Amerikaanse tech-lobby (o.a. via ITI ⁶³) en sommige (voornamelijk kleinere) lidstaten verzetten zich hevig tegen deze eisen. Zij framen deze als “politiek gemotiveerd” en “discriminatoir”, en beweren dat ze geen technische cybersecurity-doelen dienen.⁶⁴

Dit bewijsdossier toont aan dat het tegenovergestelde waar is. De “immuniteit eisen” zijn niet primair politiek; ze zijn de enige logische en noodzakelijke juridisch-technische conclusie die volgt uit de Schrems II-uitspraak ⁴ en de technische faling analyses (Deel II & III).

Zoals aangetoond, falen de puur technische maatregelen (HSMs, BYOK, Nitro) om de juridische dreiging (FISA § 702) te mitigeren. De enige manier om het risico van “compelled assistance” en “compelled compromise” effectief te neutraliseren, is door de jurisdictionele haak (de Amerikaanse moedermaatschappij) volledig te verwijderen. De EUCS “immuniteit eisen” ⁶¹ zijn de beleidsmatige vertaling van deze technische en juridische realiteit. De CNIL stelt terecht dat het ontbreken van deze criteria de soevereiniteit doelen van de EU volledig ondermijnt.⁵⁹

Conclusie: De Noodzaak van een Architectuur “Sovereign-by-Design”

Dit bewijsdossier heeft aangetoond dat de juridische verplichtingen van de U.S. CLOUD Act (gebaseerd op “control”) en FISA § 702 (gebaseerd op “compelled assistance”) elke Amerikaanse provider dwingen tot medewerking, ongeacht de datalocatie. De technische tegenmaatregelen (BYOK, HSMs) zijn ineffectief tegen gedwongen gebruik, en de meest robuuste maatregel (HOYK/DKE) vernietigt de functionaliteit van de cloud, waarmee de “data-in-use” paradox ¹⁹ wordt bevestigd.

De “soevereine” aanbiedingen van AWS, Microsoft en Google falen omdat zij de fundamentele architectuur (een wereldwijd, uniform control plane beheerd door een Amerikaanse entiteit) niet wijzigen. Ze bieden slechts beleidsmatige schillen (MCfS SLZ) of technische afscherming (AWS Nitro) die door de Amerikaanse eigenaar zelf gecompromitteerd kan worden.³⁷ Zelfs de meest geavanceerde partnermodellen (S3NS) behouden een fatale technologische afhankelijkheid (de software supply chain).

Ware soevereiniteit, zoals geëist door de Nederlandse regering in haar BZK non-paper ⁵⁷, vereist een “Sovereign-by-Design” architectuur.⁶⁵ Dit impliceert zowel juridische als technische soevereiniteit:

1. Juridische Soevereiniteit: Een 100% Europese eigendomsstructuur, exclusief onderworpen aan de EU-rechtsorde.²
2. Technische Soevereiniteit: Een volledig gescheiden control plane (beheerlaag) ⁶⁶ en data plane (verwerkingslaag) ⁶⁵, waarbij de software-stack (de ‘supply chain’) niet afhankelijk is van een entiteit die onder een niet-EU-rechtsorde valt.

De Nederlandse Digitalisering Strategie ⁵² moet dringend worden geharmoniseerd met de risicoanalyse van het BZK non-paper.⁵⁷ Dit bewijsdossier levert het onweerlegbare bewijs dat voor data met een hoge gevoeligheid (zoals die van de Rijksoverheid) alleen vertrouwd kan worden op oplossingen die voldoen aan de “immuniteit criteria” zoals voorgesteld in de EUCS “high+” certificering.⁶¹ Vertrouwen op de “soevereine” marketing van Amerikaanse providers is, zoals dit dossier aantoont, een juridische, technische en strategische onmogelijkheid.

Geciteerd werk

1. What the CLOUD Act Really Means for EU Data Sovereignty – Wire, geopend op november 2, 2025, https://wire.com/en/blog/cloud-act-eu-data-sovereignty
2. Why U.S. Hyperscalers Fall Short On European Data Sovereignty – UpCloud, geopend op november 2, 2025, https://upcloud.com/blog/why-us-hyperscalers-fall-short-on-european-data-sovereignty/
3. The Definitive Guide to Schrems II | Resource – DataGuidance, geopend op november 2, 2025, https://www.dataguidance.com/resource/definitive-guide-schrems-ii
4. Schrems II: History repeats itself but it is not all bad news for international data transfers, geopend op november 2, 2025, https://www.reedsmith.com/en/perspectives/2020/07/schrems-ii-history-repeats-itself-but-it-is-not-all-bad-news
5. Cross-Border Data Sharing Under the CLOUD Act | Congress.gov, geopend op november 2, 2025, https://www.congress.gov/crs-product/R45173
6. JOINTS RESPONSES TO THE OPEN CONSULTATIONS OF THE EDPB AND OF THE EUROPEAN COMMISSION ON THE NEW GOVERNANCE OF INTERNATIONAL DAT, geopend op november 2, 2025, https://www.edpb.europa.eu/sites/default/files/webform/public_consultation_reply/joints_responses_2_0.pdf
7. European Data Protection Authorities Explore U.S. CLOUD Act’s Potential Impact on the GDPR – Cleary Gottlieb, geopend op november 2, 2025, https://www.clearygottlieb.com/-/media/files/alert-memos-2019/us-cloud-acts-potential-impact-on-the-gdpr.pdf
8. DOJ Releases White Paper Addressing Scope & Implications of CLOUD Act, geopend op november 2, 2025, https://www.clearycyberwatch.com/2019/04/doj-releases-white-paper-addressing-scope-implications-of-cloud-act/
9. Justice Department Announces Publication of White Paper on the CLOUD Act, geopend op november 2, 2025, https://www.justice.gov/archives/opa/pr/justice-department-announces-publication-white-paper-cloud-act
10. The CLOUD Act | Eurojust | European Union Agency for Criminal …, geopend op november 2, 2025, https://www.eurojust.europa.eu/publication/cloud-act
11. DOJ Cloud Act – Department of Justice, geopend op november 2, 2025, https://www.justice.gov/d9/press-releases/attachments/2019/04/10/department_of_justice_cloud_act_white_paper_2019_04_10_final_0.pdf
12. Reauthorization of Title VII of the Foreign Intelligence Surveillance Act | Congress.gov, geopend op november 2, 2025, https://www.congress.gov/crs-product/R47477
13. Section 702 Basics – ODNI, geopend op november 2, 2025, https://www.dni.gov/files/icotr/Section702-Basics-Infographic.pdf
14. Foreign Intelligence Surveillance Act (FISA) and Section 702 – FBI, geopend op november 2, 2025, https://www.fbi.gov/how-we-investigate/intelligence/foreign-intelligence-surveillance-act-fisa-and-section-702
15. Mitigating the risk of US surveillance for public sector services in the cloud, geopend op november 2, 2025, https://policyreview.info/articles/analysis/mitigating-risk-us-surveillance-public-sector-services-cloud
16. report on the surveillance program operated pursuant to section 702 – PCLOB, geopend op november 2, 2025, https://documents.pclob.gov/prod/Documents/OversightReport/054417e4-9d20-427a-9850-862a6f29ac42/2023%20PCLOB%20702%20Report%20(002).pdf
17. Schrems II landmark ruling: A detailed analysis | United States | Global law firm, geopend op november 2, 2025, https://www.nortonrosefulbright.com/en-us/knowledge/publications/ad5f304c/schrems-ii-landmark-ruling-a-detailed-analysis
18. Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, geopend op november 2, 2025, https://www.edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en
19. Recommendations 01/2020 on measures that supplement transfer …, geopend op november 2, 2025, https://www.edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf
20. European Commission European Data Protection Board Recommendations 01/2020, 02/2020 und standard contractual clauses Dear ladies, geopend op november 2, 2025, https://www.edpb.europa.eu/sites/default/files/webform/public_consultation_reply/edpb_ec_2020-12-04.pdf
21. EDPB Recommendations on supplementary measures – European Data Protection Supervisor, geopend op november 2, 2025, https://www.edps.europa.eu/sites/default/files/publication/edpb_recommendations_on_supplementary_measures_-_dpo_meeting_11_dec_2020_en.pdf
22. Response to draft EDPB Recommendations on supplementary measures for personal data transfers – DIGITALEUROPE %, geopend op november 2, 2025, https://www.digitaleurope.org/resources/response-to-draft-edpb-recommendations-on-supplementary-measures-for-personal-data-transfers/
23. Assessing the EDPB’s recommendations on Schrems II – Fieldfisher, geopend op november 2, 2025, https://www.fieldfisher.com/en/insights/assessing-the-edpb-s-recommendations-on-schrems-ii
24. BYOK vs HYOK: What’s the Difference and Which Approach Is Right for You? – archTIS, geopend op november 2, 2025, https://www.archtis.com/byok-vs-hyok-whats-the-difference-and-which-is-right-for-you/
25. cloudhsm-user-guide.pdf – AWS Documentation, geopend op november 2, 2025, https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm-user-guide.pdf
26. About keys – Azure Key Vault | Microsoft Learn, geopend op november 2, 2025, https://learn.microsoft.com/en-us/azure/key-vault/keys/about-keys
27. Keeper Encryption and Security Model Details, geopend op november 2, 2025, https://docs.keeper.io/en/enterprise-guide/keeper-encryption-model
28. FIPS 140-3 Certification – Thales CPL, geopend op november 2, 2025, https://cpl.thalesgroup.com/compliance/fips-140-3
29. Understanding the Basic Differences Between BYOK & HYOK – Fortanix, geopend op november 2, 2025, https://www.fortanix.com/blog/differences-between-byok-and-hyok
30. Who Holds the Keys? Exploring GYOK, BYOK, and HYOK for Cloud Sovereignty – enclaive, geopend op november 2, 2025, https://www.enclaive.io/resources/who-holds-the-keys-exploring-gyok-byok-and-hyok-for-cloud-sovereignty
31. Double Key Encryption FAQ – Microsoft Learn, geopend op november 2, 2025, https://learn.microsoft.com/en-us/purview/double-key-encryption-faq
32. Understanding Microsoft Double Key Encryption services – IBM, geopend op november 2, 2025, https://www.ibm.com/docs/en/ukofc/3.1.0?topic=understanding-msdke-support
33. Double Key Encryption – Planning and Deployment … – Microsoft, geopend op november 2, 2025, https://www.microsoft.com/content/dam/microsoft/final/en-us/mcaps/dau/documents/redtiger/fy24/240613MSFTSECDKEWhitepaper136202411122.pdf
34. Hold Your Own Key (HYOK): explained – IronCore Labs, geopend op november 2, 2025, https://ironcorelabs.com/hyok/
35. European Digital Sovereignty – Amazon Web Services, geopend op november 2, 2025, https://aws.amazon.com/compliance/europe-digital-sovereignty/
36. Introduction – Overview of the AWS European Sovereign Cloud, geopend op november 2, 2025, https://docs.aws.amazon.com/whitepapers/latest/overview-aws-european-sovereign-cloud/introduction.html
37. The Sovereignty Illusion: Why AWS’s European Cloud Cannot …, geopend op november 2, 2025, https://eliatra.com/blog/the-sovereignty-illusion-why-awss-european-cloud-cannot-escape-us/
38. Clarifying Lawful Overseas Use of Data (CLOUD) Act – Amazon Web Services, geopend op november 2, 2025, https://aws.amazon.com/compliance/cloud-act/
39. Microsoft Cloud for Sovereignty – EUROPEAN CLOUD, geopend op november 2, 2025, https://european.cloud/sovereign-cloud/microsoft-cloud-for-sovereignity/
40. Microsoft and Telekom no longer offer cloud storage under German jurisdiction – Nextcloud, geopend op november 2, 2025, https://nextcloud.com/blog/microsoft-and-telekom-no-longer-offer-cloud-storage-under-german-jurisdiction/
41. Overview of Microsoft Cloud for Sovereignty 2025 release wave 1, geopend op november 2, 2025, https://learn.microsoft.com/en-us/industry/release-plan/2025wave1/cloud-sovereignty/
42. Implement controls and principles in SLZ – Microsoft Sovereign Cloud, geopend op november 2, 2025, https://learn.microsoft.com/en-us/industry/sovereign-cloud/sovereign-public-cloud/sovereign-landing-zone/implement-controls-principles
43. Streamline controls with Microsoft Cloud for Sovereignty – Microsoft Industry Blogs, geopend op november 2, 2025, https://www.microsoft.com/en-us/industry/blog/government/sovereignty/2024/04/24/streamline-controls-with-microsoft-cloud-for-sovereignty/
44. T-Systems Sovereign Cloud | Google Cloud, geopend op november 2, 2025, https://cloud.google.com/t-systems-sovereign-cloud
45. T-Systems Sovereign Cloud powered by Google Cloud, geopend op november 2, 2025, https://www.t-systems.com/de/en/sovereign-cloud/solutions/sovereign-cloud-powered-by-google-cloud
46. Microsoft announces new European digital commitments – Microsoft On the Issues, geopend op november 2, 2025, https://blogs.microsoft.com/on-the-issues/2025/04/30/european-digital-commitments/
47. S3NS Summit Highlights Sovereignty And Trusted Cloud Progress – Forrester, geopend op november 2, 2025, https://www.forrester.com/blogs/s3ns-summit-highlights-sovereignty-and-trusted-cloud-progress/
48. Thales x Google Cloud targeting a trusted cloud – S3NS, geopend op november 2, 2025, https://www.s3ns.io/en
49. Thales x Google Partnership Announcement – S3NS, geopend op november 2, 2025, https://www.s3ns.io/en/news/partnership-announcement
50. Thales introduces S3NS in partnership with Google Cloud and unveils its offering in a first step towards the French Trusted Cloud label, geopend op november 2, 2025, https://www.thalesgroup.com/en/news-centre/press-releases/thales-introduces-s3ns-partnership-google-cloud-and-unveils-its-offering
51. Download – Tweede Kamer, geopend op november 2, 2025, https://www.tweedekamer.nl/downloads/document?id=2025D33494
52. NDS Prioriteit 1: de Cloud – Digitale Overheid, geopend op november 2, 2025, https://www.digitaleoverheid.nl/nederlandse-digitaliseringsstrategie-nds/6-prioriteiten-voor-een-overheid/prioriteit-1-cloud/
53. Het Rijk in de cloud – Algemene Rekenkamer, geopend op november 2, 2025, https://www.rekenkamer.nl/binaries/rekenkamer/documenten/rapporten/2025/01/15/het-rijk-in-de-cloud/Het+Rijk+in+de+cloud.pdf
54. Download – Tweede Kamer, geopend op november 2, 2025, https://www.tweedekamer.nl/downloads/document?id=2025D10135
55. Non-paper Versterken van cloudsoevereiniteit van overheden – Rijksoverheid, geopend op november 2, 2025, https://www.rijksoverheid.nl/actueel/nieuws/2025/07/15/non-paper-versterken-van-cloudsoevereiniteit-van-overheden
56. Non-paper on Strengthening Cloud Sovereignty Adopted – Digital Government, geopend op november 2, 2025, https://www.nldigitalgovernment.nl/featured-stories/non-paper-on-strengthening-cloud-sovereignty-adopted/
57. Strengthening Cloud Sovereignty of Public Administrations – Digital …, geopend op november 2, 2025, https://www.nldigitalgovernment.nl/strengthening-cloud-sovereignty-of-public-administrations/
58. EU Cloud Certification Scheme – CIPR – – European Union, geopend op november 2, 2025, https://ec.europa.eu/newsroom/cipr/items/713799/en
59. Cloud: the risks of a European certification allowing foreign authorities access to sensitive data | CNIL, geopend op november 2, 2025, https://www.cnil.fr/en/cloud-risks-european-certification-allowing-foreign-authorities-access-sensitive-data
60. The Economic Impacts of the Proposed EUCS Exclusionary Requirements: Estimates for EU Member States | – European Centre for International Political Economy, geopend op november 2, 2025, https://ecipe.org/publications/eucs-immunity-requirements-economic-impacts/
61. The European Cybersecurity Certification Scheme for Cloud Services, geopend op november 2, 2025, https://www.csis.org/analysis/european-cybersecurity-certification-scheme-cloud-services
62. Oceans Apart: The EU and US Cybersecurity Certification Standards for Cloud Services, geopend op november 2, 2025, https://www.crossborderdataforum.org/oceans-apart-the-eu-and-us-cybersecurity-certification-standards-for-cloud-services/
63. ITI Urges EU Lawmakers to Drop Sovereignty Requirements in Final EUCS, geopend op november 2, 2025, https://www.itic.org/news-events/news-releases/iti-urges-eu-lawmakers-to-drop-sovereignty-requirements-in-final-eucs
64. EUCS: Ensuring full transparency and cybersecurity for European cloud users’ data – AFME, geopend op november 2, 2025, https://www.afme.eu/publications/position-papers/joint-statement-on-eu-cybersecurity-certification-scheme-for-cloud-services-eucs/
65. Sovereign-by-Design: Key Management and Data Location in European Clouds – convotis, geopend op november 2, 2025, https://www.convotis.com/en/news/sovereign-by-design-in-european-clouds/
66. Sovereign Data Integration: Airbyte Enterprise Flex vs Traditional Cloud, geopend op november 2, 2025, https://airbyte.com/data-engineering-resources/sovereign-data-integration-vs-traditional-cloud