---
title: "De CLOUD Act: wat overheidsorganisaties moeten weten over jurisdictie en data"
description: "Geen onderwerp in het soevereiniteitsdebat veroorzaakt zoveel kortsluiting als de Amerikaanse CLOUD Act. Wat klopt ervan, wat niet, en waar zit jouw daadwerkelijke risico? Wat de CLOUD Act feitelijk..."
url: https://www.intermax.nl/resources/de-cloud-act-wat-overheidsorganisaties-moeten-weten-over-jurisdictie-en-data/
date: 2026-06-01
modified: 2026-06-01
author: "Romana Dekker"
image: https://www.intermax.nl/wp-content/uploads/2026/06/de-cloud-act2.png
categories: ["Blogs"]
tags: ["digitaleoverheid"]
type: post
lang: nl
---

# De CLOUD Act: wat overheidsorganisaties moeten weten over jurisdictie en data

Geen onderwerp in het soevereiniteitsdebat veroorzaakt zoveel kortsluiting als de Amerikaanse CLOUD Act. Wat klopt ervan, wat niet, en waar zit jouw daadwerkelijke risico?

## Wat de CLOUD Act feitelijk regelt

De CLOUD Act (Clarifying Lawful Overseas Use of Data Act) verplicht Amerikaanse bedrijven om data te verstrekken aan de Amerikaanse overheid wanneer die hierom verzoekt in het kader van een justitieel onderzoek, ongeacht waar de data fysiek is opgeslagen. Dit geldt voor Microsoft, Google, Amazon en alle andere Amerikaanse aanbieders.

De wet is van toepassing wanneer data onder de possession, custody, or control van een Amerikaans bedrijf valt. De wet vereist géén afstemming met Nederlandse of Europese autoriteiten, en biedt de Amerikaanse overheid ruimte om data op te vragen vanuit eigen rechts- of beleidsbelangen.

## De veelgehoorde misvatting

Dat Europese privacywetgeving dit volledig zou voorkomen, is een veelgehoorde misvatting. Europese wetgeving is wel degelijk van kracht voor Europese organisaties en hun verwerkers, maar de CLOUD Act creëert een juridisch conflict: een Amerikaanse provider kan tegelijkertijd verplicht zijn data te verstrekken aan de VS én verplicht zijn die data te beschermen onder bijvoorbeeld de AVG. Welke wet in de praktijk de doorslag geeft, hangt af van waar de druk het grootst is.

## De nuance die het verschil maakt

Hier zit de cruciale nuance, en die ontbreekt vrijwel volledig in het publieke debat: de CLOUD Act is alleen relevant wanneer een provider daadwerkelijk toegang heeft tot de data. Bij systemen die draaien op Europese infrastructuur met door de klant beheerde encryptiesleutels, ziet de provider in de meeste scenario’s alleen versleutelde bestanden. Die nuance maakt een fundamenteel verschil voor het risicoprofiel.

De aankondiging van de Belastingdienst over de overstap naar Microsoft 365 illustreert dit precies. De staatssecretaris benadrukte dat de primaire belastingdata in het eigen datacenter in Apeldoorn blijft, en dat klopt: op die gegevens heeft Microsoft geen toegang, en dus heeft de CLOUD Act daar ook geen grip op. Waar het risico wél ligt, is het e-mailverkeer van medewerkers, omdat Microsoft die communicatie als Online Service Provider beheert en daar technisch wél toegang toe heeft.

## Strafrechtelijk of politiek?

Een verzoek onder de CLOUD Act vereist in principe een concrete aanleiding, een vermoeden van strafbaar handelen. Maar de praktijk laat zien dat de grens tussen strafrechtelijke opsporing en politiek gemotiveerde informatieverzameling niet altijd scherp is. Dat maakt het risicoprofiel moeilijker te beoordelen dan het op papier lijkt.

## Niet alleen de CLOUD Act: ook parlementaire dagvaarding

De CLOUD Act is daarin niet het enige instrument. In mei 2026 deelden Microsoft en andere techbedrijven namen van medewerkers van de Autoriteit Consument en Markt (ACM) en de Autoriteit Persoonsgegevens met een commissie van het Amerikaanse Huis van Afgevaardigden, die onderzoek doet naar de Europese handhaving van de Digital Services Act. De rechtsgrondslag was geen CLOUD Act-verzoek maar een parlementaire dagvaarding. Dat is een politiek onderzoeksinstrument waarmee het Congres bedrijven kan dwingen intern bewijsmateriaal te overhandigen. E-mails, notulen en uitnodigingen werden overhandigd met namen van Nederlandse ambtenaren die niet waren geanonimiseerd. Staatssecretaris Aerdts noemde de situatie ’ontzettend onwenselijk’.

Wat dit incident toevoegt aan het beeld: de gedeelde informatie zat in Microsofts eigen zakelijke systemen, niet in systemen die Microsoft namens de Nederlandse overheid beheert. De betrokken ambtenaren hadden zelf geen data bij Microsoft opgeslagen, ze hadden deelgenomen aan overleggen waar ook Microsoft bij was. Het laat zien dat de extraterritoriale bevoegdheden van de VS verder reiken dan cloudopslag alleen: wie in de dagelijkse uitvoering van zijn werk contact heeft met Amerikaanse bedrijven, laat sporen na in hun systemen die via Amerikaanse juridische procedures kunnen worden opgevraagd, buiten het zicht van een Nederlandse rechter.

## Jouw blootstelling is geen vast gegeven

De kern blijft: jouw CLOUD Act-blootstelling is geen vast gegeven, maar het resultaat van bewuste technische keuzes. Het label ’cloud’ op een dienst zegt nog niets over je risico. Of een Amerikaanse provider daadwerkelijk toegang heeft tot je data, dát zegt er alles over.

*Dit blog is onderdeel van de (https://ontdek.intermax.nl/hubfs/whitepaper%20digitale%20autonomie%20overheid/Intermax_whitepaper_DigitaleOverheid-2026.pdf)*. *Het volledige whitepaper is (https://ontdek.intermax.nl/hubfs/whitepaper%20digitale%20autonomie%20overheid/Intermax_whitepaper_DigitaleOverheid-2026.pdf)*