Met enige fanfare werd de uitrol van de EU Data Boundary officieel afgerond. Microsoft presenteert dit als een grote stap naar meer privacy en controle over data in Europa. Maar in werkelijkheid verandert er niets.
Amerikaanse wetten blijven leidend voor wie toegang heeft tot data en Europa blijft afhankelijk van Amerikaanse cloudproviders. Zelfs met de EU Data Boundary heeft Europa totaal geen controle over haar data, laat staan over de infrastructuur waarop die draait.
De EU Data Boundary wordt als een aantrekkelijke oplossing gepresenteerd voor tal van risico’s, maar blijft in werkelijkheid een schijnoplossing. In dit artikel licht ik uit in vijf redenen waarom EU Data Boundary niks veranderd en dus een schijnoplossing is:
1. Gegevensopslag in Europa beschermt niet tegen Amerikaanse wetgeving
Opslaan van gegevens in Europa lijkt de ideale oplossing voor betere controle en bescherming, maar zelfs als data fysiek binnen de EU blijft, blijft toegang door Amerikaanse autoriteiten mogelijk. Microsoft, als Amerikaans bedrijf, blijft gebonden aan de CLOUD Act en moet voldoen aan Amerikaanse verzoeken, zelfs wanneer de data zich binnen de EU bevindt. Dit maakt de locatie van de data irrelevant voor de bescherming tegen Amerikaanse toegang.
In 2023 werd Meta beboet voor het illegaal overdragen van Europese gebruikersgegevens naar de VS, een schending van de GDPR, ondanks dat de data fysiek binnen de EU was opgeslagen. Dit toont aan dat de locatie van de data geen bescherming biedt tegen Amerikaanse wetgeving. Europese gegevens blijven blootgesteld aan Amerikaanse surveillance.
Zolang een Amerikaans bedrijf de infrastructuur beheert, blijft Europese data binnen het bereik van de Amerikaanse autoriteiten. Controle over data is niet alleen een kwestie van locatie, maar van de wetgeving die toegang bepaalt. De EU Data Boundary biedt dus geen echte bescherming tegen Amerikaanse inmenging.
2. Amerikaanse surveillancewetten zetten Europese privacyregels buitenspel
Amerikaanse wetgeving verplicht Amerikaanse bedrijven om Europese gegevens over te dragen, zelfs als dit in strijd is met de GDPR. Dit betekent dat, zelfs als gegevens in Europa worden opgeslagen, Amerikaanse wetgeving toegang blijft afdwingen. Wanneer Amerikaanse bedrijven proberen te voldoen aan Europese privacywetten, worden hun inspanningen ondermijnd door de Amerikaanse overheid die voortdurend nieuwe surveillancebevoegdheden introduceert.
De EU Data Boundary biedt geen bescherming tegen Amerikaanse juridische eisen. Omdat Microsoft een Amerikaans bedrijf blijft, is het wettelijk verplicht om mee te werken aan de overdracht van gegevens, ongeacht de locatie. Wanneer wetgeving een obstakel vormt, wordt deze aangepast, zodat Amerikaanse surveillancebevoegdheden sterker zijn dan Europese privacybescherming.
Een voorbeeld hiervan is de rechtszaak waarin de Amerikaanse overheid Microsoft dwong e-mails over te dragen die in Ierland waren opgeslagen. Microsoft weigerde aanvankelijk, maar in 2018 werd de Stored Communications Act door de CLOUD Act vervangen, die Amerikaanse autoriteiten expliciet de macht gaf om gegevens wereldwijd te eisen, zelfs wanneer deze zich buiten de VS bevinden.
De EU Data Boundary heeft geen effect ook al beweert Microsoft dat het de privacy van Europese klanten zal beschermen. Het zijn Amerikaanse wetten die de werkelijke macht over onze gegevens hebben.
3. Exclusieve controle over data en infrastructuur leidt tot vendor lock-in
Wanneer je instapt op Microsofts EU Data Boundary, geef je Microsoft volledige controle over zowel de infrastructuur als je gegevens. Dit creëert een situatie van vendor lock-in, waarbij je de vrijheid om over te stappen naar een andere provider drastisch inperkt.
Dataportabiliteit wordt een groot obstakel. Technische portabiliteit wordt bemoeilijkt door gesloten API’s en eigen formaten, waardoor migratie naar een andere provider complex en kostbaar is. Juridische portabiliteit wordt beperkt door strikte licentievoorwaarden die organisaties ontmoedigen om workloads naar een niet-Microsoft-cloud te verplaatsen.
Wat begint als een keuze voor Europese data-opslag verandert snel in een onomkeerbare afhankelijkheid van Microsoft. Hoe groter de afhankelijkheid van één cloudleverancier, hoe minder controle een organisatie heeft over haar digitale infrastructuur en data.
In een recente ondervraging onder gemeenten werd duidelijk dat de technische en juridische portabiliteit van gemeenten ernstig werd beperkt door Microsoft. Het overstappen naar een andere cloudprovider werd complex en kostbaar door incompatibiliteit en gesloten systemen. Strenge licentievoorwaarden beperkten de vrijheid van gemeenten, wat resulteerde in een vendor lock-in situatie.
Tot overmaat van ramp werd deze afhankelijkheid verder versterkt door het Rijksbeleid, dat de Microsoft-cloud als enige goedgekeurde oplossing had aangewezen. Zo creëert de leverancier een lock-in, die de overheid vervolgens verder verstevigt.
Exclusieve controle over data en infrastructuur door één cloudleverancier vormt een ernstig risico voor digitale soevereiniteit. Zonder controle over zowel gegevensportabiliteit als infrastructuur blijven organisaties kwetsbaar voor afhankelijkheid die moeilijke te doorbreken is.
4. Metadata en operationele gegevens compleet onbeschermd
Zelfs als we aannemen dat data veilig binnen de EU Data Boundary is opgeslagen, blijft er een ander risico. Microsoft garandeert dat primaire data zoals bestanden en e-mails binnen de EU blijven, maar bepaalde gegevens, zoals metadata en operationele gegevens, worden buiten de EU verwerkt en vallen onder buitenlandse wetgeving.
Deze zogenaamde “non-core services” een term die Microsoft zelf gebruikt, omvatten gegevens die veel meer zijn dan onschuldige bijproducten. Metadata, zoals informatie over wie met wie communiceert, wanneer en hoe lang, biedt waardevolle inzichten en vormt de basis voor zoeksystemen en analyses. Inlichtingeninstanties beschouwen metadata vaak als waardevoller dan de inhoud van bestanden zelf. Dit betekent dat Amerikaanse autoriteiten, onder wetten zoals de CLOUD Act en FISA 702, toegang kunnen krijgen zonder expliciete toestemming.
In 2013 toonde het PRISM-programma aan hoe Amerikaanse autoriteiten metadata, e-maillogs en andere operationele gegevens verzamelden van techbedrijven zoals Microsoft en Google. In plaats van volledige bestanden op te vragen, richtte PRISM zich op verbindingsgegevens en systeemlogs, die gedetailleerd blootlegden wie met wie communiceert, wanneer en vanaf welke locatie. Omdat PRISM werd uitgevoerd onder wetgeving die nog steeds van kracht is, blijft dit risico bestaan.
Zolang metadata en operationele gegevens buiten de EU worden verwerkt, biedt deEU Data Boundary biedt geen oplossing en blijven Amerikaanse inlichtingendiensten toegang houden tot gevoelige Europese data.
5. Afhankelijkheid van niet-Europese cloudinfrastructuur maakt Europa kwetsbaar
In de discussie over de EU Data Boundary ligt de focus sterk op waar data wordt opgeslagen, maar daarmee negeren we een fundamenteler probleem: de afhankelijkheid van buitenlandse technologie. Zelfs als data fysiek binnen de EU blijft, is de infrastructuur waarop die draait vaak in handen van niet-Europese bedrijven. Wanneer geopolitieke spanningen toenemen, biedt opslag op eigen bodem geen garantie op toegang en continuïteit.
Sancties zijn al decennia een vast onderdeel van buitenlands beleid in zowel Europa als de VS, maar digitale sancties werken anders. In plaats van geleidelijk, grijpen ze direct in en kunnen met één besluit essentiële systemen volledig stilvallen.
Zo werd Rusland na de invasie in 2022 onverwachts afgesneden van cloudservices van Microsoft, AWS en Google. Bedrijven, banken en overheidsinstanties kwamen plotseling zonder cruciale digitale infrastructuur te zitten. In het Westen werd deze sanctie toegejuicht, maar het toonde aan hoe kwetsbaar een land of regio is wanneer het afhankelijk is van buitenlandse cloudinfrastructuur die in één klap kan wegvallen.
Wie de infrastructuur beheert, bepaalt de spelregels. En precies daar ligt het echte probleem. De discussie rond de EU Data Boundary richt zich op waar data wordt opgeslagen, terwijl de werkelijke uitdaging onze structurele afhankelijkheid van buitenlandse cloudproviders is. Zolang Europa geen grip heeft op zijn eigen digitale fundamenten, blijft het kwetsbaar voor geopolitieke druk en juridische inmenging. Echte controle over data begint bij controle over de infrastructuur.
Photo by ALEXANDRE LALLEMAND on Unsplash
