De zorgen over datasoevereiniteit zijn groter dan ooit. Nu Trump Europa onder druk zet met handelsheffingen en de geopolitieke spanning oploopt, vragen steeds meer mensen zich af: zijn onze gegevens wel veilig bij Amerikaanse bedrijven? Veel van de checks and balances waar we altijd op konden rekenen qua vriendschap met de Amerikanen verdwijnen momenteel als sneeuw voor de zon. In dat licht leidt de vraag over datasoevereiniteit tot verhitte discussies over de CLOUD Act en data op Europese bodem. Het is goed dat we het erover hebben en zoeken naar alternatieven. Ik ben alleen bang dat we daardoor iets veel belangrijkers vergeten.

Terwijl iedereen druk is met praten en denken over hoe we ons tot de nieuwe geopolitieke situatie en de Amerikaanse en met name de techbedrijven moeten verhouden, lijken we de FISA-wet massaal over het hoofd te zien.

De CLOUD Act is een wet waar we grip op denken te hebben, juist omdat er rechterlijke toetsing is en bedrijven verzoeken kunnen aanvechten. IBM deed dat succesvol en stuurde de Amerikaanse overheid weg. Er zijn procedures, er is verweer mogelijk, en dat is precies waarom juristen er zo graag mee bezig zijn. Er valt namelijk iets te doen. Maar ik denk dat het tamelijk zinloos is en ons afleidt van iets belangrijkers.

Omdat de achterdeur naar onze data ondertussen wagenwijd open staat. Die achterdeur heet FISA Section 702. En daar hoor ik gek genoeg niemand over.

FISA Section 702 stamt uit 2008 en geeft Amerikaanse inlichtingendiensten de bevoegdheid om zonder rechterlijk bevel communicatie te verzamelen van niet-Amerikanen buiten de VS. Wij dus.

Het verschil zit hem in een paar elementen:

Bij de CLOUD Act moet een rechter toestemming geven voor elk verzoek. Bij FISA dienen de Attorney General en de Director of National Intelligence jaarlijks een certificering in bij een geheime rechtbank, die procedures beschrijft maar geen individuele doelwitten toetst.

Bij de CLOUD Act mag een bedrijf een verzoek aanvechten en er uiteindelijk over publiceren voor klanten en aandeelhouders in een transparantierapport. Bij FISA is dat verboden. Techbedrijven zijn verplicht mee te werken en ze mogen hun klanten niet eens vertellen dat er überhaupt een verzoek is geweest.

Ook boeiend is de schaal van de verschillen tussen beide acts. IBM ontving in vier jaar tijd precies één CLOUD Act-verzoek voor Europese klanten. Hoeveel FISA-verzoeken ze in diezelfde periode kregen is per definitie onbekend, want bedrijven mogen daar niet over publiceren. FISA geeft structurele toegang tot databases die vrijelijk doorzocht kunnen worden.

In april 2024 werd FISA zelfs flink uitgebreid. Senator Ron Wyden noemde het "one of the most dramatic and terrifying expansions of government surveillance authority in history."De definitie van wie verplicht kan worden mee te werken, omvat nu vrijwel iedereen met toegang tot communicatieapparatuur. De surveillance staat in optima forma dus.

Dit gebeurt vermoedelijk op vele vlakken. Via het Terrorist Finance Tracking Program krijgt het Amerikaanse ministerie van Financiën toegang tot SWIFT, het Belgische berichtensysteem achter vrijwel alle internationale banktransacties. Ook hier waren beleidsmakers en juristen tussen de EU en de VS langdurig aan het onderhandelen over een akkoord met Europol-toezicht. Maar ondertussen bleek uit de Snowden-documenten dat de NSA via andere wegen dezelfde data buiten dat akkoord om had opgehaald, precies dankzij dit soort wetten.

Hotelovernachtingen, steden en landen waar je was, cafés, koffietenten, restaurants en winkels. Je hele leven ligt erin besloten en ik denk dat de meeste mensen daar nog niet bij stilstaan. Ik bracht binnen een paar minuten alle uitjes van de afgelopen twintig jaar in kaart op basis van mijn bankdata. Als amateur, op mijn eigen laptop. Moet je nagaan wat de Amerikaanse inlichtingendiensten ermee kunnen.

Het Europees Hof van Justitie begreep dit wel. In 2020 verklaarde het Hof in de Schrems II-uitspraak het Privacy Shield ongeldig, de regeling die datatransfer tussen de EU en de VS regelde. De reden was niet de CLOUD Act, maar FISA Section 702, waarvan het Hof concludeerde dat die wet niet voldoet aan Europese grondrechten omdat hij niet proportioneel is en niet beperkt tot wat strikt noodzakelijk is. Dat is de taal waarmee een jurist zegt dat iets absoluut niet door de beugel kan.

Toch blijven we het gesprek voeren over de CLOUD Act en noemen we FISA niet.

Ik denk dat ik weet waarom. De CLOUD Act biedt houvast, want we kunnen onderhandelen over verdragen, eisen dat verzoeken via officiële procedures lopen, en contractuele waarborgen opstellen. Juristen kunnen ermee aan de slag omdat er iets te doen valt.

Bij FISA kunnen we niets omdat de wet eenzijdig is, geheim blijft en niet onderhandelbaar is. De enige echte bescherming is het vermijden van Amerikaanse providers, en dat is gezien de implicaties (en een boel werk en verandering) een conclusie waar niemand op zit te wachten.

Wat we niet willen horen
Op 10 juni 2025 werd Anton Carniaux, de juridisch directeur van Microsoft France, onder ede gehoord door de Franse Senaat. Toen ze aan hem vroegen: "kunt u garanderen dat gegevens van Franse burgers nooit aan de Amerikaanse overheid worden overgedragen zonder toestemming van de Franse autoriteiten?" luidde zijn antwoord: "Nee, ik kan dat niet garanderen."

Microsoft kan beloven verzoeken aan te vechten, kan gegevens binnen de EU houden en encryptie implementeren. Maar als er een juridisch gefundeerd Amerikaans verzoek binnenkomt, moet het meewerken. En bij FISA mag het de klant daar niet eens over informeren.

Carniaux zegt: als een verzoek juridisch gefundeerd is, moet Microsoft meewerken. Maar wie bepaalt wat juridisch gefundeerd is nu de Amerikaanse waarborgen afbrokkelen?

Dit geldt voor alle Amerikaanse cloudproviders, die samen 70 procent van de Europese markt beheersen.

Geografische maatregelen helpen niet, want een datacenter in Amsterdam van een Amerikaans bedrijf biedt geen bescherming tegen FISA. Sterker nog, sinds de uitbreiding van 2024 gaat het niet alleen om waar je data staat, maar ook om welke apparatuur het passeert. Als de wifi-infrastructuur van je hotel wordt beheerd door een Amerikaans bedrijf, of als je data onderweg een router of switch van een Amerikaanse leverancier passeert, valt dat onder dezelfde wet. Ik vermoed dat beleidsmakers en juristen zich dit onvoldoende realiseren. Contractuele waarborgen helpen evenmin, want een provider kan wettelijk verplicht worden om die afspraken te negeren zonder dat je daar ooit achter komt.

Voor sommige gegevens is dat acceptabel. Voor andere lijkt me dat hoogst onwenselijk.

Dit lijkt me een klassiek geval van het Juvenalis-dilemma: wie bewaakt de bewakers? Lange tijd konden we goed leven met het idee dat we op de Amerikanen konden bouwen. Maar dat landschap is in rap tempo aan het veranderen. Ik weet niet wat juist is. Maar volgens mij moeten we wel een discussie voeren over het brede plaatje van dit vraagstuk. Ik vrees dat we er niet vanaf komen met wat goed uitonderhandelde contracten die ons ontslaan van urgent ingrijpen in de manier waarop we met informatie omgaan in onze publieke organisaties.