Uw cloudomgeving uit Amerika halen: een juridisch stappenplan
door Niels van den Bogaard en Joost van Dongen
Een cloudmigratie is een omvangrijk en complex proces met diverse overwegingen. Vanuit juridisch perspectief schuilt de complexiteit vooral in de samenloop van meerdere rechtsgebieden; zowel Europees als Amerikaans.
Europees en Nederlands kader
De AVG stelt strenge eisen aan de omgang met persoonsgegevens en de doorgifte van persoonsgegevens naar landen buiten de EER.[1] De Data Act schetst het kader voor controle over data, terwijl de NIS2-richtlijn organisaties in essentiële sectoren verplicht tot verhoogde cybersecuritymaatregelen – inclusief eisen aan leveranciersketens. De NIS2, zo is de verwachting, zal in Q2 2026 in de Cyberbeveiligingswet (CBW) binnen Nederland worden verankerd.
Amerikaans kader
De Cloud Act geeft Amerikaanse autoriteiten de bevoegdheid om data op te vragen bij US-providers, ongeacht waar die data fysiek is opgeslagen. Een Europees datacenter van een Amerikaanse provider biedt dus geen volledige bescherming. FISA Section 702 verruimt daarnaast de surveillancemogelijkheden, met potentiële impact op gegevens van EU-burgers. Deze wetten creëren een structurele spanning met Europese privacynormen.
[....]