Soevereine AI: CLOUD Act en Amerikaanse toegang tot overheidsdata
Cloud StrategieHet is een van de meest onderschatte risico's in de Nederlandse publieke sector: de Amerikaanse CLOUD Act. Deze wet geeft Amerikaanse autoriteiten het recht om data op te vragen bij Amerikaanse cloudproviders, ongeacht waar ter wereld die data fysiek staat opgeslagen.
En daar blijft het niet bij. FISA 702 (buitenlandse inlichtingendiensten) en Executive Order 12333 geven aanvullende toegangsbevoegdheden die haaks staan op de AVG en het Europese rechtsbeschermingsniveau.
Wat is het risico concreet?
Stel: jouw gemeente draait een AI-assistent voor burgerzaken op Azure OpenAI. De data staat in het West-Europe datacenter in Nederland. Toch kan een Amerikaanse rechter onder de CLOUD Act Microsoft verplichten die data uit te leveren, zonder dat jij of de betrokken burger het weet.
Dit is geen theorie. Sinds Schrems II (2020) is het EU-Hof duidelijk: Amerikaanse surveillancewetten bieden onvoldoende waarborgen voor Europese persoonsgegevens.
Drie lagen van soevereiniteit
| Laag | Vraag | Risico |
|---|---|---|
| Infrastructuur | Waar draait de server? | CLOUD Act als provider Amerikaans is |
| Platform | Wie beheert de software? | Data access door cloud-admin |
| Data | Waar staan de documenten? | Backups, mirrors, CDN-copies wereldwijd |
Checklist: hoe soeverein is jouw AI-stack?
-
Check je cloudprovider. Is het moederbedrijf Amerikaans? Dan valt het onder de CLOUD Act, ook bij een EU-dochter.
-
Waar staan de primaire data? Een Amsterdams datacenter beschermt niet tegen FISA 702 als de provider Amerikaans is.
-
Waar gaan je backups heen? Geo-replicatie naar US-regions is vaak standaard aan, tenzij je het uitzet.
-
Gebruik je OpenAI, Anthropic of Google AI? Alle drie Amerikaans. Je prompts en documenten gaan naar US-servers.
-
Check je verwerkersovereenkomst. Staat er expliciet in dat data niet onder CLOUD Act/FISA 702 uitgeleverd wordt? Meestal niet.
-
BIO2-eis: Het Nederlandse cloudbeleid (BZK/CIO-Rijk) classificeert data in drie niveaus. AI met persoonsgegevens is minimaal BBN2, en daarvoor zijn Amerikaanse clouds ongeschikt zonder aanvullende maatregelen.
-
Zijn er EU-alternatieven? Voor AI-inference zijn er soevereine alternatieven: eigen servers met open-source modellen (Ollama, Mistral, Llama) of Europese cloudproviders.
Hoe de cloud-sovereignty plugin helpt
De cloud-sovereignty Claude Code plugin scant je infrastructuur op CLOUD Act blootstelling:
/cloud-sovereignty, drie-laags scan: infra, platform, data- Vendor assessment checklist (jurisdictie + operationeel + contractueel)
- Categorie soevereine alternatieven (Tier 1 NL, Tier 2 EU, Tier 3 EU SaaS)
- DPIA cloud-aanvulling specifiek voor CLOUD Act risico's
- Sector-specifieke secties voor Rechtspraak, gemeenten, en zorg
Meer weten?
DjimIT adviseert overheden over soevereine AI-infrastructuur. Van CLOUD Act-analyse tot turnkey on-premise AI-stacks.
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.