Before you continue
To give you the best possible experience please select your preference.
To give you the best possible experience please select your preference.
Een hoge ambtenaar zet zijn baan op het spel. De Amerikaanse wet die hem zorgen baart, raakt veel meer bedrijven dan alleen de overheid.
Pieter van Oordt, Centrale Privacy Officer van agentschap Logius, stapte op 16 april naar De Volkskrant met een waarschuwing. De aangekondigde overname van Solvinity door het Amerikaanse Kyndryl brengt DigiD en MijnOverheid onder Amerikaanse jurisdictie. Zijn vraag is groter dan DigiD. Dezelfde wet raakt ook elk Nederlands bedrijf dat met Microsoft, Google of AWS werkt.
Het is zeldzaam dat een hoge ambtenaar van Binnenlandse Zaken naar buiten treedt. Toch deed Pieter van Oordt het deze week. Hij is Centrale Privacy Officer van Logius, het agentschap achter DigiD en MijnOverheid. Hij kondigt daarmee een rechtszaak aan tegen zijn werkgever en de Staat der Nederlanden.
Zijn zorg is concreet. Solvinity, het Nederlandse bedrijf dat de clouddiensten van DigiD en MijnOverheid beheert, wordt overgenomen door het Amerikaanse Kyndryl. Een interne veiligheidsanalyse werd in november 2025 gedeeld met het ministerie. De conclusie was helder. Het platform is technisch niet volledig af te sluiten voor de leverancier. Ook met extra maatregelen komen Nederlandse persoonsgegevens daarmee onder Amerikaanse jurisdictie.
Dat klinkt als een probleem voor Den Haag. Het is ook een probleem voor ondernemers. Want de wet die Van Oordt zorgen baart, raakt elk bedrijf dat met Amerikaanse software werkt.
DigiD verwerkt dagelijks twee miljoen inlogsessies. Via MijnOverheid gaan jaarlijks ook honderd miljoen brieven de deur uit, met gezinssamenstelling, kentekens, toeslagen, schulden en medische gegevens. Die infrastructuur staat nu nog op Nederlandse servers.
Kyndryl is vier jaar geleden zelfstandig geworden als spin-off van IBM. Het bedrijf verzekerde Kamerleden dat Nederlandse data binnen Europa blijft. Senior vicepresident Pieter Bil zei dat Kyndryl zich "maximaal zal verzetten" tegen Amerikaanse overheidsverzoeken.
Van Oordt is niet gerust op die belofte. Hij wijst op de Cloud Act, een Amerikaanse wet uit 2018. Die wet verplicht Amerikaanse bedrijven om klantdata af te geven aan Amerikaanse autoriteiten, ongeacht waar die data fysiek staat. Een Nederlandse bv onder een Amerikaanse moeder valt er dus ook onder. Daarnaast zou de VS via dezelfde route de toegang tot DigiD technisch kunnen blokkeren.
Minister van Buitenlandse Zaken Tom Berendsen erkende gisteren op WNL dat er een probleem ligt. "We hebben echt een huiswerkopdracht om minder afhankelijk te worden." De VS blijft volgens hem een bondgenoot. Maar een minder voorspelbare.
Veel ondernemers denken dat hun data veilig is zolang die in een Europees datacenter staat. Dat klopt echter niet. Het Nederlandse NCSC concludeerde al in 2022 dat Europese data niet immuun is voor Amerikaans recht. De locatie van de server is dus niet bepalend. De juridische eigenaar wel.
Is het moederbedrijf Amerikaans, dan valt de dienst onder de Cloud Act. Los van de server, los van de verwerkersovereenkomst, los van de marketing over "data binnen Europa". Dat betreft Microsoft 365, Google Workspace, AWS, Dropbox, Zoom, Salesforce en de meeste SaaS-tools die het gemiddelde MKB gebruikt.
Het risico is geen theorie meer. In mei 2025 sloot Microsoft de mailaccount van de hoofdaanklager van het Internationaal Strafhof op bevel van het Witte Huis. In september 2025 beval een Canadese rechter de Franse cloudprovider OVHcloud om klantdata uit Europa af te geven. Twee rechtssystemen die elkaar tegenspreken, en bedrijven die tussen beide worden geplet.
Als een Amerikaanse provider data afgeeft onder de Cloud Act, pleegt die in Europees recht toch een onrechtmatige doorgifte. De aansprakelijkheid ligt dan niet bij de provider. Die ligt bij het Nederlandse bedrijf dat de provider inzet.
Boetes onder de AVG lopen op tot twintig miljoen euro, of vier procent van de wereldwijde jaaromzet. Een MKB-bedrijf dat klantgegevens via OneDrive deelt, zit bij een Cloud Act-verzoek klem. De Amerikaanse provider gehoorzaamt de VS. De Europese toezichthouder beboet de Nederlandse klant.
Daar komt de Cyberbeveiligingswet overheen, vorige week aangenomen door de Tweede Kamer. Organisaties moeten straks in een risicoanalyse vastleggen waar hun data staat en onder welk recht die valt. Wie dat niet kan, voldoet niet aan de zorgplicht. Bestuurders worden persoonlijk aansprakelijk.
Drie wetten, één vraag. Waar staat jouw data, en welk recht geldt ervoor?
Organisaties hebben hun e-mail en hun klantendatabase vaak goed in kaart. De communicatiekanalen blijven daarbij buiten de radar. De voicemail. Een gesprekstranscriptie door AI. Chatbots op de contactpagina. En ook opnames van klantgesprekken die ergens in een cloud belanden voor analyse.
Voor elk van die kanalen geldt dezelfde vraag. Valt de leverancier onder Amerikaans recht? Zo ja, dan valt het gesprek onder de Cloud Act. Denk aan een klant die een medische afspraak maakt. Of aan een advocaat die een contract bespreekt. Ook een HR-adviseur die een personeelsdossier doorneemt valt eronder. Al die gesprekken leven in systemen van een eigenaar.
Enreach is zo'n Europees alternatief, met eigen infrastructuur binnen Europa. De persoonlijke assistent Shomi verwerkt gespreksdata altijd binnen de EU. Opnames blijven 30 dagen bewaard en worden ook niet gebruikt om AI-modellen te trainen. Enreach valt dus niet onder de Cloud Act.
Dat zijn geen marketingregels. Het zijn juridische feiten die passen in een risicoanalyse onder de nieuwe wet. Wie in Microsoft Teams blijft werken, koppelt Enreach Contact daaraan. De zakelijke telefonie blijft dan buiten Amerikaanse jurisdictie, ook als de rest van de productiviteitssuite dat niet doet.
Van Oordt stelt een "chique oplossing" voor. Stel de overname enkele maanden uit en gebruik die tijd om DigiD bij Solvinity weg te halen. Voor ondernemers geldt dezelfde logica. Wie nu overzicht creëert, houdt straks de keuze.
Begin met drie stappen. Maak eerst een inventarisatie van alle clouddiensten die je gebruikt, communicatie inbegrepen. Bepaal zo per dienst wie de juridische eigenaar is, niet waar het datacenter staat. Breng tot slot in kaart welke categorie data er door loopt, van gewone contactinformatie tot medische of financiële gegevens.
Daarna volgt de afweging. Sommige diensten zijn te zwaar verweven om snel te vervangen. Voor andere is er een volwaardig Europees alternatief. Voor communicatie geldt dat laatste.
Eind 2025 deed cloud.nl onderzoek onder 276 Nederlandse MKB-bedrijven. Zesenvijftig procent leunt op Amerikaanse providers voor e-mail en back-up. Ruim een kwart weet niet eens waar de eigen data staat. Tegelijk krijgen twee op de drie bedrijven steeds vaker klantvragen over precies dit onderwerp.
Neem contact op met Enreach om te kijken hoe jouw communicatieomgeving onder Nederlands en Europees recht valt.
Austria
Denmark
Finland
France
Germany
Latvia
Netherlands
Spain
Sweden
Switzerland
United Kingdom
Global
