Cloud Act en generatieve AI: wie bepaalt nu echt waar jouw data wordt opgeslagen?
Je plakt een vertrouwelijk document in ChatGPT of Copilot. Een conceptcontract, een margetabel, een strategisch memorandum. Vanavond staat dat document op een Amerikaanse server. En het Amerikaanse rechtssysteem kan er toegang toe krijgen, zelfs als het fysiek in Europa is opgeslagen. Het heeft een naam: de Cloud Act.
Ik heb gezien hoe managers deze realiteit midden in onderhandelingen ontdekten. Te laat om de kwestie van hosting aan te kaarten. Datasoevereiniteit is niet de verantwoordelijkheid van een IT-afdeling; het is een beslissing van het management, net zoals het kiezen van een bank of verzekeringsmaatschappij. Hieronder leggen we uit waarom, en belangrijker nog, wat je eraan kunt doen.
De Cloud Act, die wet die niemand leest voordat ze een document in een chatbot plakken.
Belangrijkste conclusies
- De Cloud Act (2018) geeft Amerikaanse autoriteiten de bevoegdheid om gegevens op te vragen die worden bewaard door elke aanbieder die onder de Amerikaanse wetgeving valt, zelfs als deze in Europa zijn opgeslagen, zonder u daarvan op de hoogte te stellen. ChatGPT, Copilot, Gemini en Claude vallen hieronder.
- Artikel 48 van de AVG verzet zich in principe tegen deze openbaarmakingen, maar uw bedrijf is als verwerkingsverantwoordelijke verantwoordelijk voor onrechtmatige overdrachten: tot € 20 miljoen of 4.% aan wereldwijde omzet.
- Op 17 april 2026 heeft de Europese Commissie haar contract voor soevereine clouddiensten (€180 miljoen, 6 jaar) toegekend aan vier Europese groepen – met name OVHcloud, Scaleway en STACKIT – op basis van een referentiekader voor soevereiniteit (SEAL) dat door elk bedrijf kan worden hergebruikt.
- Schaduw-AI is enorm: 61% van de werknemers gebruikt AI via persoonlijke accounts; 54% van de niet-aangemelde tools heeft gevoelige gegevens verzameld.
- Drie managementbeslissingen: gegevens classificeren op basis van gevoeligheid, het soevereine of lokale netwerk reserveren voor strategische gegevens (Mistral, SecNumCloud-hosting, on-premise implementatie) en de arbitrage overlaten aan het uitvoerend comité.
Wat de tekst zegt, zonder jargon.
De Clarifying Lawful Overseas Use of Data Act werd op 23 maart 2018 door het Amerikaanse Congres aangenomen. Deze wet wijzigt de Stored Communications Act van 1986 en lost een langlopend probleem voor de FBI op: hoe toegang te krijgen tot gegevens die in het buitenland worden bewaard door een Amerikaans bedrijf, zonder de trage procedures van internationale rechtshulp te hoeven doorlopen.
Het antwoord kan in één zin worden samengevat: Amerikaanse autoriteiten kunnen een aanbieder die onder de Amerikaanse wetgeving valt, verplichten de gegevens die hij bezit of beheert over te dragen, ongeacht waar die gegevens zijn opgeslagen. Server in Frankfurt, datacenter in Parijs, cloudregio in "West-Europa": het maakt niet uit. Wat telt, is de juridische nationaliteit van de aanbieder, niet de geografische locatie van de machines.
Twee cruciale punten die alles veranderen. Ten eerste hoeft het betreffende bedrijf niet op de hoogte te worden gesteld: u zult nooit weten dat uw gegevens zijn ingezien. Ten tweede is de reikwijdte breed: Amerikaanse bedrijven, hun dochterondernemingen en mogelijk elk buitenlands bedrijf met een aanzienlijke commerciële aanwezigheid in de Verenigde Staten.
ChatGPT, Copilot, Gemini, Claude: hetzelfde systeem
OpenAI, Microsoft, Google en Anthropic zijn bedrijven die zijn opgericht volgens de Amerikaanse wetgeving. Hun generatieve AI-assistenten – ChatGPT, Copilot, Gemini en Claude – vallen daarom onder de Cloud Act, zelfs wanneer ze Europese hosting aanbieden. Een Iers datacenter dat wordt beheerd door een Amerikaanse entiteit blijft onder de jurisdictie van de Amerikaanse rechtbanken. Dit is nu juist het principe van extraterritorialiteit: de wet is van toepassing op het bedrijf, niet op de server.
In de praktijk betekent elke e-mail met uw klantgegevens, prijsinformatie, R&D-resultaten of persoonsgegevens van werknemers een gegevensoverdracht aan een entiteit die onder buitenlands recht valt. Uw gegevens reizen verder dan u zelf. En daarvoor was uw toestemming niet nodig.
De AVG wijst u aan als de verwerkingsverantwoordelijke voor de gegevensverwerking, niet uw leverancier.
Artikel 48, een meer theoretisch dan praktisch slot
De Europese wetgeving heeft dit probleem niet genegeerd. Artikel 48 van de AVG bepaalt dat een besluit van een autoriteit in een derde land dat de openbaarmaking van persoonsgegevens vereist, alleen kan worden erkend als het is gebaseerd op een internationale overeenkomst, doorgaans een verdrag inzake wederzijdse rechtshulp. De Cloud Act is echter een unilaterale Amerikaanse wet, geen verdrag. Al in 2019 concludeerden het Europees Comité voor gegevensbescherming (EDPB) en de Europese Toezichthouder voor gegevensbescherming (EDPS) in hun gezamenlijke analyse dat een verzoek dat uitsluitend op de Cloud Act is gebaseerd, geen geldige grondslag vormt voor gegevensoverdracht.
De Amerikaanse leverancier staat dus voor twee tegenstrijdige juridische bevelen: gehoorzamen aan de Amerikaanse rechter en de AVG overtreden, of weigeren en sancties in de Verenigde Staten riskeren. Raad eens welke kant een bedrijf met een Amerikaans hoofdkantoor, management en het grootste deel van de omzet zal kiezen.
Schrems II, Meta: de rekening is al betaald voor anderen
Deze spanning bleef niet beperkt tot de academische wereld. Op 16 juli 2020 verklaarde het Hof van Justitie van de Europese Unie in de Schrems II-uitspraak het Privacy Shield ongeldig, omdat Amerikaanse surveillanceprogramma's geen bescherming boden die gelijkwaardig was aan die van de Europese wetgeving. In mei 2023 legde de Ierse gegevensbeschermingsautoriteit Meta een boete van € 1,2 miljard op voor de illegale overdracht van persoonsgegevens naar de Verenigde Staten. De CNIL (Franse gegevensbeschermingsautoriteit) stuurde eveneens formele waarschuwingen naar Franse organisaties die Google Analytics gebruikten, om dezelfde redenen.
En hier is het punt dat veel managers onderschatten: als verantwoordelijke voor de gegevensverwerking bent u als bedrijf verantwoordelijk voor de rechtmatigheid van de overdrachten, niet OpenAI of Microsoft. De aanbevelingen van het Europees Comité voor gegevensbescherming (EDPB) van januari 2020 vereisen dat u de blootstelling van uw verwerkers aan extraterritoriale wetgeving beoordeelt en aanvullende maatregelen documenteert, waaronder encryptie met sleutels die ontoegankelijk zijn voor de aanbieder. Als u dit niet doet, kunt u boetes krijgen op grond van artikel 83 van de AVG tot € 20 miljoen of 4% van uw wereldwijde jaaromzet. De aanbieder int uw abonnementskosten; u draagt het risico.
April 2026: Europa heeft met zijn portemonnee gestemd.
Dit is geen discussie meer onder experts. Op 17 april 2026 heeft de Europese Commissie de gunning van haar raamovereenkomst voor de soevereine cloud – € 180 miljoen over zes jaar, in het kader van het Cloud III-initiatief – bekendgemaakt aan vier uitsluitend Europese consortia: Post Telecom met OVHcloud en CleverCloud, het Duitse bedrijf STACKIT, het Franse bedrijf Scaleway en Proximus in samenwerking met S3NS, Clarence en Mistral. AWS, Microsoft Azure en Google Cloud, die voorheen de institutionele contracten domineerden, behoren niet tot de directe winnaars.
Om de selectie te maken, heeft Brussel een uniek instrument ontwikkeld: het Cloud Sovereignty Framework, dat soevereiniteit beoordeelt op een SEAL-schaal van 0 tot 4. SEAL-3, behaald door drie van de vier winnende aanbieders, vereist dat geen enkele niet-Europese entiteit vetorecht heeft, een clausule voor gegevenstoegang of de technische mogelijkheid om de dienst uit te schakelen. Met andere woorden, immuniteit van de Cloud Act is een meetbaar en afdwingbaar criterium geworden voor overheidsaanbestedingen. Dit framework is openbaar – u bent vrij om het in uw eigen aanbestedingen te gebruiken. Frankrijk volgt hetzelfde pad: de doctrine van de "State Cloud", herzien in maart 2026, schrijft voor dat gevoelige overheidsgegevens moeten worden gehost op infrastructuren die door het Franse nationale agentschap voor cyberbeveiliging (ANSSI) zijn gecertificeerd als SecNumCloud.
Wanneer de Europese Commissie, de ECB en zo'n vijftig agentschappen weigeren hun werkzaamheden toe te vertrouwen aan leveranciers die onderworpen zijn aan de Amerikaanse wetgeving, verdient deze kwestie op zijn minst een plek in uw directiecomité.
Ondertussen, op uw kantoor: Schaduw-AI
Terwijl Europa werkt aan zijn digitale soevereiniteit, wat gebeurt er in uw land? Volgens een YouGov-onderzoek in opdracht van Microsoft Frankrijk (januari 2026, 657 managers en leidinggevenden) gebruikt 80% van de managers generatieve AI minstens één keer per week, en 61% van de werknemers heeft er toegang toe via persoonlijke accounts, buiten elk IT-kader om, waarvan 38% het dagelijks gebruikt. Meer dan zeven op de tien managers hebben geen training gevolgd.
Dit noemen we schaduw-AI, en die is dol op gevoelige gegevens. Het Netwrix 2026-rapport schat dat 54% van de niet-aangemelde AI-tools die in bedrijven werden aangetroffen, gevoelige gegevens hadden verzameld: broncode, klantbestanden en gereguleerde documenten. Netskope meet gemiddeld 223 incidenten per maand waarbij gevoelige gegevens naar generatieve AI-tools worden verzonden per bedrijf. En de Privacy Barometer 2026 van de EQS Group onderstreept dit punt: 80% van de organisaties heeft geen duidelijk inzicht in hun AI-gebruik, en slechts 32% van de organisaties die AI-projecten uitvoeren, heeft een gegevensbeschermingseffectbeoordeling (DPIA) voltooid.
Reken het maar eens uit voor uw eigen organisatie. Als uw teams ook maar enigszins lijken op het Franse gemiddelde, dan zijn delen van uw contracten, HR-gegevens en R&D al verplaatst naar servers die onder de Cloud Act vallen. Zonder besluit. Zonder een spoor achter te laten. behandelregisterZonder dat uw functionaris voor gegevensbescherming (DPO) hiervan op de hoogte wordt gesteld.
Wilt u precies weten wat er binnen uw bedrijf gebeurt? De experts van Viqtor® helpen u uw AI-gebruik en gegevensoverdracht in kaart te brengen.
Drie beslissingen moeten worden genomen – en deze moeten op managementniveau worden besproken.
1. Sorteer uw gegevens op gevoeligheid
Niet alles is gelijk. Een productbrochure kan via elk medium worden verspreid; uw klantendatabase, uw marges, uw verkoopproces en uw R&D-werk niet. Stel een eenvoudige classificatie vast – drie niveaus zijn voldoende: publiek, intern, strategisch/gereguleerd – en baseer deze op de werkelijkheid. gegevensbeheer Wie kan wat versturen, met welk hulpmiddel en met welke validatie? Zonder deze inventarisatie blijft elk AI-beleid bij wensdenken.
2. Voor gevoelige zaken kunt u de soeverein of de lokale overheid om toestemming vragen.
Er bestaan nu geloofwaardige alternatieven. Mistral AI, een Frans bedrijf, verwerkt data op Europese servers, buiten het bereik van de Cloud Act, met zakelijke oplossingen die gebruik kunnen maken van SecNumCloud-gecertificeerde infrastructuren. Het Franse Ministerie van Defensie heeft Mistral in januari 2026 de opdracht gegeven voor de implementatie van generatieve AI binnen de Franse strijdkrachten. De open-weight modellen kunnen zelfs op uw eigen servers worden ingezet: de data verlaten uw infrastructuur nooit. Voor hosting bieden OVHcloud, Scaleway en Outscale Europese hosting aan die niet onder de Amerikaanse extraterritorialiteit valt. Een iets minder geavanceerde soevereine AI is te verkiezen boven een geavanceerde AI die uw meest waardevolle bezit blootlegt. Voor niet-gevoelige toepassingen blijven Amerikaanse tools bruikbaar – mits het een gedocumenteerde keuze betreft, geregeld in een onderaannemersovereenkomst die voldoet aan artikel 28.
3. Houd de arbitrage op het niveau van het uitvoerend comité.
Waar uw gegevens terechtkomen is geen technische kwestie. Een CIO optimaliseert kosten en prestaties; een dienstverlener verkoopt zijn catalogus. Geen van beiden zal aansprakelijk worden gesteld door de CNIL (Franse Autoriteit voor Gegevensbescherming), uw aandeelhouders of uw klanten in geval van een datalek of onrechtmatige overdracht. U wel. De beslissing om de kracht van de tools in evenwicht te brengen met de controle over de informatieactiva ligt bij het senior management, ondersteund door een AVG-audit ernst, een continue evaluatie van uw onderaannemers en partners En gedocumenteerde GDPR-processen — AIPD inbegrepen voor risicovolle AI-toepassingen.
De krachtigste AI is waardeloos als je daardoor de controle verliest over wat jou waardevol maakt: je data. De echte vraag vanavond is simpel: staan je meest gevoelige gegevens bij jezelf – of bij iemand anders?
Viqtor® helpt u de controle terug te krijgen: het in kaart brengen van verwerkingsactiviteiten, de evaluatie van AI-aanbieders en de naleving van de AVG, beheerd vanuit een soeverein %-platform.
Veelgestelde vragen — Uw vragen over de GDPR-audit
Is de Cloud Act ook van toepassing als de servers zich in Europa bevinden?
Ja. Het criterium van de Cloud Act is de juridische nationaliteit van de aanbieder, niet de locatie van de servers. Een datacenter in Parijs dat wordt beheerd door een Amerikaans bedrijf of een dochteronderneming daarvan, blijft onderworpen aan de Amerikaanse regelgeving. Alleen een juridisch Europese aanbieder, zonder enige Amerikaanse controle, ontkomt structureel aan deze extraterritorialiteit.
Is het gebruik van ChatGPT of Copilot illegaal volgens de AVG?
Nee, op zich niet. Maar de verwerking van persoonsgegevens vereist een verwerkersovereenkomst conform artikel 28, een risicobeoordeling van gegevensoverdrachten (na Schrems II), zo nodig aanvullende maatregelen en een gegevensbeschermingseffectrapportage (DPIA) voor risicovolle toepassingen. Het is het ongereguleerde gebruik – schaduw-AI – dat de inbreuk veroorzaakt, niet de tool zelf.
Wie is verantwoordelijk in geval van een illegale overdracht: mijn bedrijf of de AI-aanbieder?
Uw bedrijf is als verwerkingsverantwoordelijke verantwoordelijk voor de keuze van zijn onderaannemers en voor het waarborgen van de rechtmatigheid van de gegevensoverdracht bij de CNIL (Franse Autoriteit voor Gegevensbescherming). De leverancier heeft zijn eigen verplichtingen, maar deze ontslaan u niet van uw verantwoordelijkheid: de sancties op grond van artikel 83 van de AVG zijn primair gericht op de partij die de doeleinden en middelen van de verwerking bepaalt.
Wat is een soevereine AI precies?
Een AI waarvan de aanbieder, hosting en governance uitsluitend onder Europees recht vallen: een Europees bedrijf, servers in de EU en geen enkele niet-Europese entiteit met toegang tot de data. Mistral AI is hiervan het meest succesvolle Franse voorbeeld. De volgende stap is het implementeren van een open-weight model op uw eigen infrastructuur: de data verlaten uw eigen terrein dan nooit.
Is encryptie voldoende om me te beschermen tegen de Cloud Act?
Het helpt, maar alleen onder één strikte voorwaarde: dat de encryptiesleutels ontoegankelijk blijven voor de aanbieder. Dit is de belangrijkste technische maatregel die wordt erkend in de aanbevelingen van het Europees Comité voor gegevensbescherming (EDPB) van januari 2020. Bij generatieve AI schiet deze bescherming echter tekort: om uw prompt te verwerken, moet het model uw gegevens in platte tekst lezen. Encryptie beschermt de opslag, niet de inferentie.
Waar begin ik met het reguleren van het gebruik van generatieve AI binnen mijn bedrijf?
Het proces begint met een eerste beoordeling: welke tools worden daadwerkelijk gebruikt, door wie en met welke gegevens. Dit wordt gevolgd door een classificatie op basis van gevoeligheid, een gebruikscharter, de selectie van gevalideerde tools (soevereine tools voor gevoelige gegevens), het bijwerken van het verwerkingsregister en een gegevensbeschermingseffectbeoordeling (DPIA) voor risicovolle gevallen. Een GDPR-audit, mogelijk gemaakt door een platform zoals Viqtor®, omvat deze stappen zonder dat hiervoor maandenlange interne resources nodig zijn.