DATAsoevereiniteit

 

dr. ir. Linda Terlouw

linda.terlouw@icris.nl

wie ben ik?

  1. Juridisch kader datasoevereiniteit

  2. Oplossingen Amerikaanse leveranciers

  3. Niet-juridische aspecten datasoevereiniteit

  4. Europese alternatieven

  5. Hoe nu verder?

Wat gaan we bespreken?

Datasoevereiniteit?

  • Digitale autonomie: "onafhankelijk van externe partijen (vooral buitenlandse overheden) en zelfvoorzienend in het digitale domein kunnen functioneren"
    Nota bene: in de praktijk altijd enige afhankelijkheid, geen enkele partij is compleet autonoom

 

  • Digitale soevereiniteit: "functioneren in het digitale domein zonder dat een buitenlandse overheid jurisdictie in dit digitale domein heeft (alleen onderworpen zijn aan wetten van zijn eigen land)"

 

  • Datasoevereiniteit: "voor de toegang tot eigen data en het overhandigen ervan aan derde partijen alleen onderworpen zijn aan wetten van het eigen land, d.w.z. zonder dat een buitenlandse overheid jurisdictie heeft"

 

 

juridisch kader

Hoe zit het met die Amerikaanse wetten?

mogen de VS wetgeving maken die effect heeft buiten hun grondgebied?

 

  • nationaliteit van burger of rechtspersoon 
    • actief
    • passief
  • effectenbeginsel (iets heeft effect op grondgebied van de staat)
  • beschermingsbeginsel (o.a. nationale veiligheid)
  • universaliteitsbeginsel (o.a. ius congens)

 

 

JA, zaak Lotus 1927

Prescriptieve jurisdictie (wetten) mogelijk op basis van:

 

 

 

 

 

 

 

Sommige gronden zijn meer omstreden dan andere.

The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no Warrants shall issue, but upon probable cause, supported by Oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized.

– Fourth Amendment to the Constitution (1791)

Meer bescherming tegen de overheid

Katz v. United States

Afluisteren door FBI in telefooncel

Berger v. New York

Ongeldig maken lokale wet in verband met te weinig waarborgen bij afluisteren door politie

Omnibus Crime Control and

Safe Streets Act (1968)

"Reasonable expection of privacy", maar....
"Third party doctrine"

Electronic Communications Privacy Act (1986)

Titel 1:
bescherming "wire, oral, and electronic communications" in transit

Titel 2 (Stored Communications Act):
bescherming opgeslagen data

Titel 3:
verbod apparaten voor traceren gebelde
nummers en andere routeringsdata

Electronic Communications Privacy Act (1986)

Digital Telephony Act (1994)

Electronic Communications Privacy Act (1986)

Patriot Act (2001)

Patriot Act Reauthorization Act (2006)

Patriot Act Sunset Extensions Act (2012)

Freedom Act (2015)

Foreign Intelligence Surveillance Act

(1978)

FISA Amendments Act (2008)

Moet Microsoft data op Europees grondgebied overhandigen op grond van de SCA (onderdeel ECPA)?

verzoek FBI 2013, zaak Supreme Court 2018

Electronic Communications Privacy Act (1986), Titel 1 en Titel 2

Cloud Act (2018)

Accordingly, the second part of the CLOUD Act clarifies that U.S. law requires that CSPs subject to U.S. jurisdiction must disclose data that is responsive to valid U.S. legal process, regardless of where the company stores the data.

The CLOUD Act amendment to the SCA does not give U.S. law enforcement any new legal authority to acquire data. It merely confirms the scope of requirements under the SCA for CSPs that are subject to U.S. jurisdiction.

Bron: https://www.justice.gov/criminal/media/999601/dl?inline

EU Entities can be within the reach of the CLOUD Act, even if the EU Entities are located outside the U.S. In order to completely avoid, it would need to process data using a non-U.S. entity, which either:

 

Memo cloud act van NCSC (door Greenberg Traurig LLP)

Bron: https://www.ncsc.nl/documenten/publicaties/2022/augustus/16/cloud-act-memo

 

In no case can the EU Entity have a U.S. parent company, as the parent would be considered to have possession of or control over the data of its subsidiary.

 

  1. does not have a corporate relation to any company within the U.S. and that does not have sufficient contacts with the U.S.
  2. if it does have a corporate relationship, the U.S. company must not have possession, custody, or control over the data that is stored in the EU.

 

Furthermore, it is advisable not to employ US nationals who have access to relevant data.

 

 

Memo cloud act van NCSC (door Greenberg Traurig LLP)

Bron: https://www.ncsc.nl/documenten/publicaties/2022/augustus/16/cloud-act-memo


The CLOUD Act is encryption-neutral and does not require providers to be capable of decrypting their data.

 

Four ways to get information from US national: 

  • voluntary consent
  • warrant (vergelijkbaar met dagvaardig)
  • subpoena (vergelijkbaar met bewijsopdracht)
  • civil investigative demand (specifiek type bewijsopdracht)
     

 

FISA

Sectie 702 maakt het mogelijk zonder de drempel van rechterlijke toestemming op basis van 'probable cause' informatie in te zien van niet-Amerikaanse burgers buiten het Amerikaanse grondgebied die ervan verdacht worden 'foreign intelligence'-informatie te hebben.

FISA (1978)

FISA Amendments Reauthorization Act 
(2017)

Reauthorization (2024-2026)

FISA Amendments Act (2008)

persoonsgegevens naar derde landen vanuit eu-recht

let op: geldt alleen voor persoonsgegevens zoals gedefinieerd in AVG en alleen voor bedrijven

(dus bijv. niet over bedrijfsgeheimen of intellectueel eigendom en voor toegang door overheid)

Safe Harbor (2000)

EU-US Data Privacy Framework (2023)

Privacy Shield (2016)

Persoonsgegevens mogen slechts naar een derde land mogen worden doorgegeven indien dat land een passend beschermingsniveau waarborgt.

Schrems I (2015)

Schrems II (2020)

Latombe (2025)

Houdt vooralsnog stand, maar.... 

persoonsgegevens naar derde landen vanuit eu-recht

let op: geldt alleen voor persoonsgegevens zoals gedefinieerd in AVG en alleen voor bedrijven

(dus bijv. niet over bedrijfsgeheimen of intellectueel eigendom en voor toegang door overheid)

Dochterbedrijven van Amerikaanse bedrijven zijn verplicht zich aan lokale wetten te houden.

Artikel 48 AVG:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals ..., onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

De oplossingen (?)

Wat bieden Amazon en Microsoft als oplossing voor het juridisch drijfzand?

Bron: https://blogs.microsoft.com/blog/2025/06/16/announcing-comprehensive-sovereign-solutions-empowering-european-organizations/

"Uit een onderzoek dat in opdracht van het Nationaal Cyber Security Centrum (NCSC) is uitgevoerd, blijkt dat hoewel theoretisch mogelijk, de kans dat de Amerikaanse overheid via de CLOUD Act toegang krijgt tot Europese gegevens in de praktijk zeer klein is.

Bovendien beschikt Microsoft over een sterke juridische staat van dienst in het verdedigen van klantgegevens tegen ongewenste toegang, inclusief meerdere rechtszaken tegen de Amerikaanse overheid waarin we met succes privacyrechten verdedigden, ook voor Europese klanten."

Regulated Environment Management

External Key Management

Data Guardian

EU Data Boundary

"Microsoft personnel residing in Europe control remote access"

"adds additional human and technical oversight whenever engineers outside of Europe need access"

"will be logged in a tamper-evident ledger"

Bron: https://blogs.microsoft.com/blog/2025/06/16/announcing-comprehensive-sovereign-solutions-empowering-european-organizations/

"easily manage all these features in one place (for instance, configuring Data Guardian policies or reviewing access log entries)"

"customers can connect Azure to keys stored on their own Hardware Security Module (HSM) on-premises or hosted by a trusted third party"

"With Phases 1, 2 and 3 now successfully launched, Microsoft continues to lead in minimizing data transfers outside of Europe while promoting transparency and trust for its commercial and public sector customers"

Non, je ne peux pas le garantir, mais, encore une fois, cela ne s'est encore jamais produit..

Anton Carniaux, Directeur Publieke en Juridische Zaken Microsoft Frankrijk

Bron: https://www.senat.fr/compte-rendu-commissions/20250609/ce_commande_publique.html

Bron: https://www.aboutamazon.eu/news/aws/built-operated-controlled-and-secured-in-europe-aws-unveils-new-sovereign-controls-and-governance-structure-for-the-aws-european-sovereign-cloud

"AWS is committed to independent and continuous operations; the AWS European Sovereign Cloud will have no critical dependencies on non-EU infrastructure. Everything needed to operate the AWS European Sovereign Cloud is in the EU: the talent, the technology, the infrastructure, and the leadership."

"AWS will establish a new European organization and operating model for the AWS European Sovereign Cloud, with a  new parent company and three subsidiaries incorporated in Germany . The management team leading this new parent company will include the managing director and a government security and privacy official, who will all be EU citizens residing in the EU."

ASML-topman, Peter Wennink, vindt Nederland zelfgenoegzaam

 

'dik, dom en blij'

Hoe zorgen we dat we niet alleen consumeren, maar ook een relevante speler in de wereld blijven?

 

 

Sovereignty is simulated, not guaranteed. The real shift concerns the frame of meaning. .... Technological dependence is reinterpreted as supposed freedom of choice. Europe’s debate about digital sovereignty is not being ignored — it is being absorbed, transformed, and translated into architecture that delegitimizes alternatives before they even emerge. The result is that those who rely on Microsoft are not just choosing technology — but are choosing against autonomous infrastructures.

Axel Oppermann

Europese alternatieven

Wat heeft de europese markt te bieden?

Hoe verder?

Helemaal weg bij Amerikaanse IT? Of wordt de soep niet zo heet gegeten?

1

Voorstel door Europese Commissie

24 februari 2022

2

Publicatie in Official Journal EU

22 december 2023

3

Inwerkingtreding Data Act
11 januari 2024

5

Van toepassing delen data IoT en gerelateerde diensten
12 september 2026

4

Data Act vrijwel in geheel van toepassing

12 september 2025

6

Van toepassing geen overstapkosten dataverwerkingsdiensten
12 januari 2027

Data ACT-tijdslijnen

7

Van toepassing oneerlijke bedingen op overeenkomsten
aangegaan voor 12 september 2025
12 september 2027

Wisselen cloud provider

Verplichting tot interoperabiliteit en mogelijk maken overstap cloud provider (dataverwerkingsdienst)

Cloud providers creëren nu bewust lock-in. In een competatieve EU-markt moet het mogelijk zijn naadloos te wisselen van cloud provider.

  • Waarom gebruik je Amerikaanse cloud? (ben je bijvoorbeeld 'een Hyves')?

  • Wat is de kans op en het afbreukrisico van een breuk van confidentiality of availability?

  • Is er een Europees commercieel alternatief beschikbaar?

  • Kan ik zelf open-source een product hosten?

  • Hoe graag wil je een Europese markt stimuleren?

  • Vertrouw je Amerikaanse leiders en/of Big Tech (en zo ja, welke)?

enkele Vragen

Vragen of Meer weten?

https://www.icris.nl/

https://www.linkedin.com/in/terlouw/

linda.terlouw@icris.nl

https://www.icris.nl/

Geschreven uitwerking van deze presentatie ontvangen?

Abonneer je op nieuwsbrief via www.rechtentechniek.nl