Met enige fanfare werd de uitrol van de EU Data Boundary officieel afgerond. Micro­soft presen­teert dit als een grote stap naar meer privacy en controle over data in Europa. Maar in werke­lijk­heid veran­dert er niets. 

Ameri­kaanse wetten blijven leidend voor wie toegang heeft tot data en Europa blijft afhan­ke­lijk van Ameri­kaanse cloud­pro­vi­ders. Zelfs met de EU Data Boundary heeft Europa totaal geen controle over haar data, laat staan over de infra­struc­tuur waarop die draait.

De EU Data Boundary wordt als een aantrek­ke­lijke oplos­sing gepre­sen­teerd voor tal van risico’s, maar blijft in werke­lijk­heid een schijn­op­los­sing. In dit artikel licht ik uit in vijf redenen waarom EU Data Boundary niks veran­derd en dus een schijn­op­los­sing is:

1. Gegevensopslag in Europa beschermt niet tegen Amerikaanse wetgeving

Opslaan van gegevens in Europa lijkt de ideale oplos­sing voor betere controle en bescher­ming, maar zelfs als data fysiek binnen de EU blijft, blijft toegang door Ameri­kaanse autori­teiten mogelijk. Micro­soft, als Ameri­kaans bedrijf, blijft gebonden aan de CLOUD Act en moet voldoen aan Ameri­kaanse verzoeken, zelfs wanneer de data zich binnen de EU bevindt. Dit maakt de locatie van de data irrele­vant voor de bescher­ming tegen Ameri­kaanse toegang.

In 2023 werd Meta beboet voor het illegaal overdragen van Europese gebrui­kers­ge­ge­vens naar de VS, een schen­ding van de GDPR, ondanks dat de data fysiek binnen de EU was opgeslagen. Dit toont aan dat de locatie van de data geen bescher­ming biedt tegen Ameri­kaanse wetge­ving. Europese gegevens blijven bloot­ge­steld aan Ameri­kaanse surveillance.

Zolang een Ameri­kaans bedrijf de infra­struc­tuur beheert, blijft Europese data binnen het bereik van de Ameri­kaanse autori­teiten. Controle over data is niet alleen een kwestie van locatie, maar van de wetge­ving die toegang bepaalt. De EU Data Boundary biedt dus geen echte bescher­ming tegen Ameri­kaanse inmenging.

2. Amerikaanse surveillancewetten zetten Europese privacyregels buitenspel

Ameri­kaanse wetge­ving verplicht Ameri­kaanse bedrijven om Europese gegevens over te dragen, zelfs als dit in strijd is met de GDPR. Dit betekent dat, zelfs als gegevens in Europa worden opgeslagen, Ameri­kaanse wetge­ving toegang blijft afdwingen. Wanneer Ameri­kaanse bedrijven proberen te voldoen aan Europese priva­cy­wetten, worden hun inspan­ningen onder­mijnd door de Ameri­kaanse overheid die voort­du­rend nieuwe surveil­lan­ce­be­voegd­heden introduceert.

De EU Data Boundary biedt geen bescher­ming tegen Ameri­kaanse juridi­sche eisen. Omdat Micro­soft een Ameri­kaans bedrijf blijft, is het wette­lijk verplicht om mee te werken aan de overdracht van gegevens, ongeacht de locatie. Wanneer wetge­ving een obstakel vormt, wordt deze aange­past, zodat Ameri­kaanse surveil­lan­ce­be­voegd­heden sterker zijn dan Europese privacybescherming.

Een voorbeeld hiervan is de rechts­zaak waarin de Ameri­kaanse overheid Micro­soft dwong e‑mails over te dragen die in Ierland waren opgeslagen. Micro­soft weigerde aanvan­ke­lijk, maar in 2018 werd de Stored Commu­ni­ca­tions Act door de CLOUD Act vervangen, die Ameri­kaanse autori­teiten expli­ciet de macht gaf om gegevens wereld­wijd te eisen, zelfs wanneer deze zich buiten de VS bevinden.

De EU Data Boundary heeft geen effect ook al beweert Micro­soft dat het de privacy van Europese klanten zal beschermen. Het zijn Ameri­kaanse wetten die de werke­lijke macht over onze gegevens hebben.

3. Exclusieve controle over data en infrastructuur leidt tot vendor lock-in

Wanneer je instapt op Micro­softs EU Data Boundary, geef je Micro­soft volle­dige controle over zowel de infra­struc­tuur als je gegevens. Dit creëert een situatie van vendor lock-in, waarbij je de vrijheid om over te stappen naar een andere provider drastisch inperkt.

Datapor­ta­bi­li­teit wordt een groot obstakel. Techni­sche porta­bi­li­teit wordt bemoei­lijkt door gesloten API’s en eigen formaten, waardoor migratie naar een andere provider complex en kostbaar is. Juridi­sche porta­bi­li­teit wordt beperkt door strikte licen­tie­voor­waarden die organi­sa­ties ontmoe­digen om workloads naar een niet-Micro­soft-cloud te verplaatsen.

Wat begint als een keuze voor Europese data-opslag veran­dert snel in een onomkeer­bare afhan­ke­lijk­heid van Micro­soft. Hoe groter de afhan­ke­lijk­heid van één cloud­le­ve­ran­cier, hoe minder controle een organi­satie heeft over haar digitale infra­struc­tuur en data.

In een recente onder­vra­ging onder gemeenten werd duide­lijk dat de techni­sche en juridi­sche porta­bi­li­teit van gemeenten ernstig werd beperkt door Micro­soft. Het overstappen naar een andere cloud­pro­vider werd complex en kostbaar door incom­pa­ti­bi­li­teit en gesloten systemen. Strenge licen­tie­voor­waarden beperkten de vrijheid van gemeenten, wat resul­teerde in een vendor lock-in situatie.

Tot overmaat van ramp werd deze afhan­ke­lijk­heid verder versterkt door het Rijks­be­leid, dat de Micro­soft-cloud als enige goedge­keurde oplos­sing had aange­wezen. Zo creëert de leveran­cier een lock-in, die de overheid vervol­gens verder verstevigt.

Exclu­sieve controle over data en infra­struc­tuur door één cloud­le­ve­ran­cier vormt een ernstig risico voor digitale soeve­rei­ni­teit. Zonder controle over zowel gegevenspor­ta­bi­li­teit als infra­struc­tuur blijven organi­sa­ties kwets­baar voor afhan­ke­lijk­heid die moeilijke te doorbreken is.

4. Metadata en operationele gegevens compleet onbeschermd

Zelfs als we aannemen dat data veilig binnen de EU Data Boundary is opgeslagen, blijft er een ander risico. Micro­soft garan­deert dat primaire data zoals bestanden en e‑mails binnen de EU blijven, maar bepaalde gegevens, zoals metadata en opera­ti­o­nele gegevens, worden buiten de EU verwerkt en vallen onder buiten­landse wetgeving. 

Deze zogenaamde “non-core services” een term die Micro­soft zelf gebruikt, omvatten gegevens die veel meer zijn dan onschul­dige bijpro­ducten. Metadata, zoals infor­matie over wie met wie commu­ni­ceert, wanneer en hoe lang, biedt waarde­volle inzichten en vormt de basis voor zoeksys­temen en analyses. Inlich­tin­gen­in­stan­ties beschouwen metadata vaak als waarde­voller dan de inhoud van bestanden zelf. Dit betekent dat Ameri­kaanse autori­teiten, onder wetten zoals de CLOUD Act en FISA 702, toegang kunnen krijgen zonder expli­ciete toestemming. 

In 2013 toonde het PRISM-programma aan hoe Ameri­kaanse autori­teiten metadata, e‑maillogs en andere opera­ti­o­nele gegevens verza­melden van techbe­drijven zoals Micro­soft en Google. In plaats van volle­dige bestanden op te vragen, richtte PRISM zich op verbin­dings­ge­ge­vens en systeem­logs, die gedetail­leerd bloot­legden wie met wie commu­ni­ceert, wanneer en vanaf welke locatie. Omdat PRISM werd uitge­voerd onder wetge­ving die nog steeds van kracht is, blijft dit risico bestaan.

Zolang metadata en opera­ti­o­nele gegevens buiten de EU worden verwerkt, biedt deEU Data Boundary biedt geen oplos­sing en blijven Ameri­kaanse inlich­tin­gen­dien­sten toegang houden tot gevoe­lige Europese data.

5. Afhankelijkheid van niet-Europese cloudinfrastructuur maakt Europa kwetsbaar

In de discussie over de EU Data Boundary ligt de focus sterk op waar data wordt opgeslagen, maar daarmee negeren we een funda­men­teler probleem: de afhan­ke­lijk­heid van buiten­landse techno­logie. Zelfs als data fysiek binnen de EU blijft, is de infra­struc­tuur waarop die draait vaak in handen van niet-Europese bedrijven. Wanneer geopo­li­tieke spanningen toenemen, biedt opslag op eigen bodem geen garantie op toegang en continuïteit.

Sancties zijn al decennia een vast onder­deel van buiten­lands beleid in zowel Europa als de VS, maar digitale sancties werken anders. In plaats van gelei­de­lijk, grijpen ze direct in en kunnen met één besluit essen­tiële systemen volledig stilvallen.

Zo werd Rusland na de invasie in 2022 onver­wachts afgesneden van cloud­ser­vices van Micro­soft, AWS en Google. Bedrijven, banken en overheids­in­stan­ties kwamen plotse­ling zonder cruciale digitale infra­struc­tuur te zitten. In het Westen werd deze sanctie toege­juicht, maar het toonde aan hoe kwets­baar een land of regio is wanneer het afhan­ke­lijk is van buiten­landse cloud­in­fra­struc­tuur die in één klap kan wegvallen.

Wie de infra­struc­tuur beheert, bepaalt de spelre­gels. En precies daar ligt het echte probleem. De discussie rond de EU Data Boundary richt zich op waar data wordt opgeslagen, terwijl de werke­lijke uitda­ging onze struc­tu­rele afhan­ke­lijk­heid van buiten­landse cloud­pro­vi­ders is. Zolang Europa geen grip heeft op zijn eigen digitale funda­menten, blijft het kwets­baar voor geopo­li­tieke druk en juridi­sche inmen­ging. Echte controle over data begint bij controle over de infrastructuur.

Photo by ALEXANDRE LALLEMAND on Unsplash