Hoe houd je je data veilig in Europa?

• Security en compliance

Op dit moment loopt binnen Europa de discussie om minder afhankelijk te worden van Amerikaanse cloudaanbieders, zoals Microsoft en Google. Ons HelloID IDentity-as-a-Service (IDaaS) platform maakt ook gebruik van deze dienstverleners, en daarom krijgt het onderwerp ook binnen Tools4ever veel aandacht.

Deze zogeheten digitale soevereiniteit is een complex onderwerp. Bij clouddiensten kunnen data niet alleen ongemerkt overal ter wereld op een server terechtkomen. We hebben ook te maken met wetten in verschillende regio’s en landen, die onderling behoorlijk kunnen schuren. Een bekend voorbeeld is de Amerikaanse CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) die niet in lijn is met de Europese privacywet GDPR (Global Data Protection Regulation). In Nederland kennen we deze wet als AVG (Algemene Verordening Gegevensbescherming).

En niet alleen de vertrouwelijkheid van gegevens staat ter discussie, ook de beschikbaarheid van de dienstverlening kan een zorgpunt worden. In mei 2025 werden in opdracht van de Amerikaanse overheid, mailaccounts van de hoofdaanklager van het International Criminal Court (ICC) geblokkeerd. Terwijl deze instelling niet is gehuisvest binnen de Verenigde Staten, maar in Den Haag.

Onze Europese digitale soevereiniteit is al langer een onderwerp, vertelden we in een eerdere blog. Wel heeft die discussie het afgelopen jaar door alle geopolitieke onrust meer prioriteit gekregen. We vertellen in deze blog wat meer over de lopende issues, en ook hoe wij als IAM-dienstaanbieder hiermee omgaan.

Uitdagingen met de CLOUD-Act

Laten we het iets concreter maken door in te zoomen op die wrijving tussen de GDPR en de CLOUD-Act. De CLOUD-Act bepaalt dat wetshandhavers in de Verenigde Staten, Amerikaanse technologiebedrijven via een bevelschrift of dagvaarding kunnen dwingen klantgegevens te verstrekken. Ook als dat gegevens zijn van buitenlandse klanten en ze zijn opgeslagen op servers buiten de Verenigde Staten. Dat botst direct met de GDPR-regels. Daarin is vastgelegd dat gegevens van Europese burgers, ongeacht waar die ter wereld worden opgeslagen, vertrouwelijk moeten worden bewaard en verwerkt.

Alleen met een duidelijke juridische grondslag mogen Europese persoonsgegevens worden gedeeld met andere partijen. Die ontbreekt bij zo’n rechtstreeks verzoek van een Amerikaanse dienst aan een cloud provider. Wel zijn er meerdere overeenkomsten afgesloten tussen de VS en Europa, om de uitwisseling van data uit Europa naar de VS te borgen. Met beperkt succes:

• Safe Harbor Privacy Principles (2000-2015). Met deze overeenkomst kregen Amerikaanse bedrijven de mogelijkheid om te verklaren dat ze voldeden aan de destijds geldende EU-privacyregels. In 2015 werd de overeenkomst nietig verklaard in het Schrems I proces door het Europese Gerechtshof, vanwege zorgen over Amerikaanse surveillance-activiteiten.

• Privacy Shield (2016-2020). Deze overeenkomst verving Safe Harbor met als doel de rechten van Europeanen te beschermen en om data-uitwisseling tussen de EU en de VS te verbeteren. Ook deze overeenkomst werd uiteindelijk nietig verklaard door het Europese Gerechtshof. Die bevestigde bij het Schrems II proces dat Privacy Shield in strijd was met de GDPR die sinds 2018 van kracht is.

• EU-US-Data Privacy Framework (2023) is de opvolger om tegemoet te komen aan de bezwaren tegen Privacy Shield. Met dit nieuwe raamwerk zou het in principe mogelijk zijn om Europese persoonsgegevens in specifieke gevallen legaal naar de VS te sturen, met voldoende waarborgen voor privacy en met toezicht volgens EU-normen.

Hoewel die huidige overeenkomst een verbetering is, is er nog steeds discussie of dit wel voldoende garanties biedt aan Europese burgers. Wel stelde bijvoorbeeld het Nationaal Cyber Security Centrum (NCSC) al in 2022 naar aanleiding van onderzoek dat ‘het risico dat de Amerikaanse overheid toegang krijgt tot Europese (persoons)gegevens, specifiek op basis van de CLOUD-act, weliswaar voorstelbaar, maar in de praktijk ook (heel) klein is’. Tegelijk is ook dit dus geen garantie, en bovendien is die CLOUD-act natuurlijk maar één voorbeeld van onderwerpen waarin het schuurt tussen Europa en de VS.

Afhankelijk van Amerikaanse cloudaanbieders

Dit is vooral een probleem, omdat je binnen Europa je best moet doen om organisaties te vinden die géén gebruik maken van Amerikaanse aanbieders. Clingendael beschrijft in een policypaper in 2024 dat de ‘grote drie’ (Microsoft, Google en Amazon) gezamenlijk 70 procent van de Europese Cloud Service Providers (CSP) markt hebben. Ook de nummer 4 en 5 zijn Amerikaans (IBM en Oracle). Europese aanbieders hebben slechts 15% van de markt en dat betreft bovendien vaak specifieke diensten, terwijl de Amerikaanse CSP’s fungeren als one-stop shop. Je kunt er een compleet portfolio aan diensten en functionaliteiten afnemen, van infrastructuurdiensten tot specifieke bedrijfsapplicaties. Gevolg is dat veel organisaties volledig afhankelijk zijn van deze diensten.

Strategie naar meer digitale soevereiniteit

Politiek loopt dus de discussie welke maatregelen nodig zijn om de Europese digitale soevereiniteit te verbeteren, en ook in het bedrijfsleven is dit natuurlijk een belangrijk onderwerp. Digitale soevereiniteit betekent dat je controle wilt hebben over je digitale gegevens, infrastructuur en technologieën. Je wilt zelf kunnen bepalen waar gegevens worden opgeslagen, wie er toegang heeft en welke technologieën worden gebruikt.

Hieronder noemen we wat maatregelen, keuzes en overwegingen die Tool4ever heeft gemaakt om toe te werken naar meer onafhankelijkheid van Amerikaanse leveranciers.

Europees moederbedrijf

Tools4ever is een Nederlands private organisatie en de enige eigenaar van het HelloID platform en de data. We hebben een Amerikaanse dochteronderneming voor lokale klantondersteuning, maar dat is georganiseerd als een losse entiteit die geen zeggenschap heeft over het platform of de data. De Amerikaanse autoriteiten kunnen ons als Europees bedrijf dus niet rechtstreeks verplichten om data te overhandigen. Wel noemden we al dat we gebruik maken van Amerikaanse aanbieders (Microsoft en Google), en die vallen dus onder de CLOUD-act.

Data en beheer fysiek binnen Europa

Om zoveel mogelijk grip te houden op onze data, maakt Tools4ever voor Europese klanten alleen gebruik van datacenters binnen de EER (Europese Economische Ruimte). Primair in Nederland, maar er kunnen ook data worden gehost in andere landen binnen de EER, ten behoeve van back-up en redundantie. Ook eisen we van onze leveranciers strikte naleving van de GDPR wetgeving. Dit is waar mogelijk contractueel vastgelegd, we controleren actief op certificeringen, en laten audits uitvoeren.

Waar we gebruik maken van Amerikaanse cloudaanbieders, gebruiken we hun specifieke ‘EU-only’ dienstverlening, waarbij de data gegarandeerd worden opgeslagen op servers binnen Europa. Voorbeeld is de EU Data Boundary van Microsoft. Daarbij worden alle persoonsgegevens van EU-klanten binnen Europa verwerkt en opgeslagen, inclusief de meeste ondersteunings- en loggegevens.

Met zo’n ‘Europese schil’ proberen de betreffende dienstverleners - en wijzelf - zo goed mogelijk buiten de directe reikwijdte van de CLOUD-Act te blijven. Wel is het belangrijk te beseffen dat dit een juridisch grijs gebied blijft, zoals dit ook geldt voor het genoemde Data Privacy Framework. Het zijn serieuze maatregelen, maar geen garanties.

Dataminimalisatie

Mede daarom zijn we ook extra gefocust op dataminimalisatie. Deze term betekent binnen de GDPR dat een organisatie niet méér gegevens mag verwerken dan noodzakelijk is om afgesproken doelen te bereiken. Een schoenwinkel mag dus wel de maat van een klant registreren, maar niet diens opleidingsniveau. Door hier scherp op te letten, voorkom je dat Amerikaanse aanbieders onnodig gegevens opslaan, die ze dan eventueel in het kader van een CLOUD-act verzoek zouden moeten overdragen.

HelloID gebruikt klantgegevens om gebruikersaccounts aan te maken en digitale rechten te verstrekken. Dat zijn alleen basale en algemene persoonsgegevens, zoals iemands naam, functie of afdeling. Hiermee maken we bijvoorbeeld gebruikersnamen aan, en bepaalt het systeem welke accounts en rechten iemand nodig heeft. Het systeem ontvangt deze gegevens uit bronsystemen zoals de HR-applicatie van een organisatie. Zulke bronsystemen registreren vaak veel gevoeliger persoonsgegevens zoals woonadressen, salarisgegevens en medische gegevens. De HelloID connectoren zijn zo ontwikkeld en geconfigureerd dat gevoelige, en voor ons onnodige gegevens nooit worden geïmporteerd.

Europese aanbieders selecteren

We reviewen actief ons bestaande leveranciers-portfolio. Het HelloID platform is zoveel mogelijk agnostisch ontwikkeld, waarbij we in principe verschillende aanbieders kunnen kiezen per functionele module. Daarbij moeten we wel realistisch zijn. Er zijn tegenwoordig overzichten van Europese alternatieven voor Amerikaanse software en diensten, maar veel alternatieven zijn vaak qua functionaliteit, prestaties, gebruiksvriendelijkheid of informatiebeveiliging nog niet op het gewenste niveau.

De markt als geheel worstelt hiermee. Zo kondigde de Belastingdienst recent aan dat de kantoorautomatisering wordt gemigreerd naar Microsoft365. De staatssecretaris meldde in de toelichting aan de Tweede Kamer dat ook Europese alternatieven zijn onderzocht, maar dat ‘geen van de onderzochte alternatieven op afzienbare termijn hetzelfde niveau van functionaliteit, veiligheid, continuïteit en efficiëntie kan bieden’.

Serieuze aandacht, zonder rennen

Deze benadering zie je veel. Er wordt wel degelijk serieus nagedacht over digitale soevereiniteit, maar overhaaste keuzes zijn onverstandig, vooral omdat er nog niet altijd volwaardige alternatieven beschikbaar zijn. Ook Tools4ever kiest voor deze aanpak. We hebben destijds zeer bewust gekozen voor de huidige leveranciers en zijn tevreden over de kwaliteit van hun producten en dienstverlening. Omdat op ons platform bovendien relatief minder gevoelige gegevens worden verwerkt, is er voor ons geen reden voor extra haast. Wel doen we actief onderzoek naar de ontwikkeling van mogelijke Europese alternatieven.