De instellingen benadrukken dat gegevens zijn opgeslagen binnen de Europese Economische Ruimte (EER), en dus onder Europese privacywetgeving vallen. Maar die garantie blijkt volgens experts grotendeels fictief. De Amerikaanse wetgeving eist van bedrijven als Microsoft dat zij meewerken met Amerikaanse inlichtingendiensten, ongeacht waar de servers fysiek staan.

Beveiligingsexpert Bert Hubert waarschuwt: “Er zit geen voetnoot in de Amerikaanse wet waarin staat: tenzij de server in Ierland staat.” Volgens hem is het een illusie dat gegevens in Europa veilig zijn zolang Amerikaanse bedrijven de controle houden over de infrastructuur. “Al staat de server in je eigen trapkast, het beheer ligt nog steeds bij Microsoft.”

Overheidsdiensten houden gevoelige gegevens vaak gescheiden van algemene cloudopslag, maar volgens Hubert is dat geen echte oplossing. “Wat je ziet is dat ze zichzelf sussen met kunstgrepen: een server apart zetten, wat clausules inbouwen. Maar de kern van het probleem wordt niet aangepakt.”

Het gemak van Amerikaanse clouddiensten, gecombineerd met bestaande werkprocessen, lijkt voor veel instanties zwaarder te wegen dan digitale soevereiniteit. Hubert vindt dat zorgwekkend: “Juist bij gevoelige data moet je extra streng zijn, en dat gebeurt simpelweg niet.” Het huidige rijksbrede cloudbeleid stelt dat elke overheidsinstelling zelf verantwoordelijk is voor het kiezen van cloudleveranciers, zolang de veiligheid gewaarborgd is. Gebruik van Amerikaanse partijen is toegestaan. Toch vallen veel zelfstandig bestuursorganen, zoals DNB en de NZa, niet onder dit beleid. Een herziening van het cloudbeleid staat voor later dit jaar gepland.

Of daarbij een harde grens komt aan de afhankelijkheid van Amerikaanse techbedrijven, is nog onduidelijk.