Microsoft: Cloud Act geldt ook voor Europese cloudproviders

donderdag, 27 november 2025 (07:17) - Computable

In dit artikel:

Tijdens het evenement Microsoft European Digital Commitment Day in Wenen stelde Jeff Bullwinkel, vice-president en deputy general counsel bij Microsoft EMEA, dat zorgen over de Amerikaanse Cloud Act voor Europese bedrijven grotendeels ongegrond zijn. Volgens hem creëert de wet geen nieuwe bevoegdheden voor de Amerikaanse overheid en verandert zij niet het bestaande systeem: toegang tot data vereist een bevel van een onafhankelijke rechter binnen een strafrechtelijk onderzoek. Het risico dat Europese ondernemingen een zogeheten disclosure order ontvangen noemt hij "vrijwel nihil".

Bullwinkel verklaarde dat Microsoft nog nooit Europese overheidsdata aan de VS heeft overgedragen en dat de meeste internationale verzoeken niet op zulke gegevens zien. Hij wees er ook op dat de Cloud Act niet alleen Amerikaanse bedrijven raakt maar elk bedrijf met een zakelijke of online binding met de VS. Als voorbeeld noemde hij OVHcloud; recente juridische procedures lieten zien dat data-uitwisseling tussen landen kan spelen — zo leverde OVH volgens Bullwinkel Franse data aan Canada — maar er is geen openbaar bewijs dat OVH gegevens specifiek op basis van de Cloud Act aan de VS heeft verstrekt. OVH benadrukt op zijn beurt dat Europese klantdata organisatorisch en technisch gescheiden zijn van de Amerikaanse entiteit en dat het juridische middelen zal inzetten om verzoeken aan te vechten of te beperken.

Daarnaast vestigde Bullwinkel de aandacht op het feit dat ook Europese overheden veelvuldig om data vragen. Microsoft rapporteert halfjaarlijks over zulke verzoeken: Duitsland voerde de meeste Europese verzoeken aan (5.296 in de laatste periode), gevolgd door Frankrijk en Oostenrijk (263 verzoeken). Tot slot noemde hij dat de EU met de European Evidence Regulation straks vergelijkbare bevoegdheden krijgt om data van bedrijven buiten de EU op te vragen.

Microsofts boodschap is duidelijk: paniek is niet nodig omdat de Cloud Act volgens het bedrijf beperkt toepasbaar is en gericht op ernstige criminaliteit. Tegelijk werpt de discussie vragen op over datasoevereiniteit en de reikwijdte van Amerikaanse wetgeving buiten de VS.