De juridische onzekerheid rond je Amerikaanse cloud is deze week van Washington naar het Binnenhof verhuisd. PRO-Kamerlid Barbara Kathmann, woordvoerder Digitale Zaken, heeft staatssecretaris Willemijn Aerdts van Digitale Economie en Soevereiniteit schriftelijke vragen gesteld over de gevolgen van een Amerikaanse hofuitspraak voor de rechtmatige data-uitwisseling tussen de EU en de VS. De staatssecretaris moet binnen drie weken reageren.
Daarmee wordt een juridische kwestie een politieke. Voor elke Nederlandse organisatie die draait op AWS, Azure, Google Cloud of Microsoft 365 gaat het niet om een Haagse formaliteit, maar om de grondslag waarop persoonsgegevens de oceaan over mogen.
Waar de vragen vandaan komen
De aanleiding ligt bij het Amerikaanse Hooggerechtshof, dat op 29 juni in de zaak Trump v. Slaughter de sinds 1935 beschermde onafhankelijkheid van toezichthouders als de Federal Trade Commission schrapte. Privacyorganisatie NOYB van Max Schrems trok daaruit meteen een harde conclusie: omdat het EU-VS Data Privacy Framework voor zijn toezicht juist op die onafhankelijke FTC leunt, is het fundament onder de dataovereenkomst weggevallen. Schrems roept de Europese Commissie sindsdien op het adequaatheidsbesluit over de VS ordelijk in te trekken, een oproep die de Kamer nu niet laat liggen.
De vragen die op tafel liggen
Kathmann laat weinig ruimte voor een ontwijkend antwoord. "Deelt u onze zorgen dat deze uitspraak gevolgen kan hebben voor de rechtmatige data-uitwisseling tussen de Europese Unie en de Verenigde Staten?", is de opening van haar schriftelijke vragen aan de staatssecretaris. Ze wil vervolgens weten wat die gevolgen concreet kunnen zijn, of Nederland voorbereid is als het Framework ongeldig wordt verklaard, en welke toezichthouder dan nog op de datastromen zou moeten toezien.
De scherpste vraag raakt de kern van Aerdts' eigen portefeuille, soevereiniteit. Kathmann vraagt of de staatssecretaris de mening deelt dat de enige zekere maatregel om onrechtmatige data-uitwisseling met de VS te voorkomen, is om veel minder afhankelijk te worden van Amerikaanse techbedrijven. Dat is geen technische vraag meer, maar een strategische: ze duwt het kabinet richting een structurele keuze in plaats van een juridische pleister.

Waarom dit meer is dan symboliek
Kamervragen veranderen op zichzelf niets aan de juridische status: het adequaatheidsbesluit blijft formeel van kracht tot de Commissie het intrekt of het Europese Hof het vernietigt. NOYB heeft een procedure aangekondigd, maar zo'n gang naar het Hof duurt doorgaans jaren. Het Framework is bovendien de derde poging op rij, na Safe Harbor in 2015 en Privacy Shield in 2020, die beide sneuvelden.
Wat er wel verandert, is de richting van het gesprek. De vraag verschuift van of de deal juridisch houdbaar is naar of Nederland zijn digitale huishouding erop moet inrichten dat hij het niet is. Dat de portefeuille van de aangesproken bewindspersoon letterlijk Digitale Economie en Soevereiniteit heet, maakt het lastig om het antwoord bij een verwijzing naar Brussel te laten.
Wat dit voor jou betekent
Er valt vandaag niets om, dus paniekverhuizingen zijn niet aan de orde. Wel is dit het moment om te weten waar je staat. De beweging is namelijk niet beperkt tot de oppositiebankjes: de Rijksoverheid gaf net Google Cloud groen licht na een privacytoets, maar leunt daarbij op precies deze wankelende Amerikaanse databodem. Dezelfde onzekerheid die de Kamer nu adresseert, zit dus al onder besluiten die vandaag genomen worden.
Drie dingen die je deze week concreet kunt doen. Breng in kaart welke persoonsgegevens je bij Amerikaanse leveranciers laat verwerken, van e-mail en CRM tot back-ups. Vraag per leverancier op welke grondslag die overdracht rust, het Framework of de standaard contractuele clausules, en wat hun plan B is als die wegvalt. En weeg voor de data die er echt toe doet of een Europees of zelf gehost alternatief het risico waard is, want het terugwinnen van grip op je cloud en het afbouwen van vendor lock-in vraagt om een concreet draaiboek, niet om een principe.
Een grondslag die in tien jaar tijd drie keer wankelt, is geen fundament maar een vergunning met een houdbaarheidsdatum. De Kamer dwingt het kabinet nu om hardop te zeggen wat dat betekent. Wie datzelfde nuchter in zijn eigen risicoanalyse zet, hoeft niet te wachten op het antwoord uit Den Haag om alvast te weten waar zijn zwakke plek zit.
Veelgestelde vragen
Minder afhankelijk van US-cloud
Wil je weten waar jouw data staat en welke grondslag eronder ligt? Ik help je end-to-end, van het in kaart brengen van je datastromen tot het ontwerpen en bouwen van Europese of self-hosted alternatieven waar dat verstandig is.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
