Home
Over ons
Open source Mobiele apps Veelgestelde vragen Migreren vanaf Google Foto's Over PixelUnion
Prijzen Blog
Helpcentrum
Account Immich Migreren Overige Contact opnemen met support
Get Started
Privacy

De US CLOUD Act Uitgelegd: Wat Het Betekent voor Je Foto's en Privacy

PixelUnion Team
6 min read
#CLOUD Act #Digital Sovereignty #Europe #Big Tech #Privacy #Data Protection #GDPR
De US CLOUD Act Uitgelegd: Wat Het Betekent voor Je Foto's en Privacy

Je foto’s zijn in “de cloud.” Maar wiens cloud? En welke wetten gelden?

Als je foto’s opslaat op Google Foto’s, iCloud, OneDrive of Dropbox, ga je waarschijnlijk ervan uit dat je gegevens beschermd worden door de privacywetten waar die servers zich bevinden. Als je foto’s in Europa opgeslagen zijn, denk je misschien dat Europese privacyregels - zoals GDPR - je veilig houden. Maar er is een Amerikaanse wet waar je waarschijnlijk nog nooit van hebt gehoord die al dat kan ondergraven. Het heet de CLOUD Act, en het is belangrijker dan je denkt.

Wat Is de CLOUD Act?

De CLOUD Act is een korte, complexe Amerikaanse wet uit 2018. De naam staat voor “Clarifying Lawful Overseas Use of Data” - wat eerlijk gezegd verwarrender klinkt dan de wet zelf. Je kunt de daadwerkelijke tekst hier lezen, maar we vertalen het naar normaal Nederlands.

Hier is het kernidee: Als een Amerikaans bedrijf je gegevens opslaat - zelfs als die servers fysiek in Europa staan - kan de Amerikaanse wetshandhaving van dat bedrijf eisen dat het je gegevens overhandigt, zonder eerst toestemming aan Europese autoriteiten te vragen.

Stel je dit voor: Je huurt een appartement in Parijs. De huisbaas is Amerikaans. Normaal gesproken zou de politie, als zij je appartement willen doorzoeken, langs de Franse rechtbank moeten gaan en Franse goedkeuring moeten krijgen. Maar wat als er een regel is die zegt dat Amerikaanse huisbazen hun deuren voor Amerikaanse politie moeten openen wanneer zij daarom vragen? Dat is in wezen wat de CLOUD Act doet - het laat Amerikaanse wetshandhaving Europese juridische processen omzeilen en rechtstreeks naar het bedrijf dat je gegevens opslaat gaan.

De CLOUD Act stelt Amerikaanse autoriteiten in staat om gegevens van Amerikaanse techbedrijven op te eisen, zelfs wanneer die gegevens op Europese servers zijn opgeslagen en toebehoren aan Europese burgers - wat mogelijk Europese privacybescherming onderuit haalt.

Waarom Dit Belangrijk Is (Zelfs als Je Gegevens in Europa Staan)

Je zou kunnen denken: “Mijn foto’s zijn opgeslagen in een Duits datacentrum, beschermd door Duitse wet.” Dat klinkt veilig. Maar het is niet de wet die het gebouw beschermt die telt - het is de wet die het bedrijf dat het gebouw beheert beschermt.

Wanneer je foto’s uploadt naar Google Foto’s, is Google (een Amerikaans bedrijf) ervoor verantwoordelijk. Google’s hoofdkantoor is in Californië. Google moet zich aan Amerikaanse wetten houden. Als Amerikaanse wetshandhaving verschijnt met een juridische vordering, moet Google zich aan Amerikaanse wet onderwerpen - zelfs als je foto’s in servers in Frankfurt, Amsterdam of Dublin staan.

De CLOUD Act werd eigenlijk ontworpen om een ander probleem op te lossen: het was bedoeld om Amerikaanse techbedrijven te helpen conflicterende juridische vorderingen van meerdere landen te vermijden. Maar het neveneffect is dat het een juridisch pad creëerde voor Amerikaanse autoriteiten om overal ter wereld gegevens op te eisen, zolang een Amerikaans bedrijf het vasthoudt.

GDPR Beschermt Je Niet tegen de CLOUD Act

Hier wordt het belangrijk: GDPR (de Algemene Verordening Gegevensbescherming van de EU) is fantastisch. Het geeft je rechten, het beperkt wat bedrijven met je gegevens kunnen doen, en het forceert transparantie. Maar GDPR gaat erover wat bedrijven uit zichzelf met je gegevens kunnen doen. Het is geen schild tegen overheidsverzoeken.

De CLOUD Act gaat over overheidstoegracht. GDPR kan Nederlandse wetshandhaving niet stoppen van het doen van een juridische vordering onder CLOUD Act-regels. Het zijn twee verschillende dingen:

  • GDPR controleert wat bedrijven in normaal, dagelijks zakendoen met je gegevens doen
  • CLOUD Act controleert wat overheden van die bedrijven kunnen eisen

Zelfs een bedrijf dat GDPR perfect volgt, moet zich nog steeds aan een CLOUD Act-verzoek van Amerikaanse autoriteiten houden. Het is als het hebben van de werelds strengste huisbaasregels - maar de politie kan er nog steeds in als zij een bevel hebben.

Wie Wordt Hier Eigenlijk Door Getroffen?

Eigenlijk: iedereen die grote cloudopslagdiensten of fotodiensten gebruikt. Dit omvat:

  • Google Foto’s en Google Drive
  • Apple iCloud
  • Microsoft OneDrive en Outlook
  • Dropbox
  • Amazon Foto’s
  • Facebook en Instagram (die ook je foto’s hosten)
  • Elk ander Amerikaanse cloudbedrijf

Als een Amerikaans bedrijf je gegevens opslaat, kan de CLOUD Act van toepassing zijn. Dit is niet theoretisch - Amerikaanse wetshandhaving heeft de CLOUD Act al gebruikt om gegevens van techbedrijven op te eisen, en bedrijven voldoen daar meestal aan.

Praktische Gevolgen

Laten we dit concreet maken. Stel je voor:

  • Een journalist in Polen gebruikt Google Drive om onderzoeksgegevens en documenten op te slaan. Amerikaanse autoriteiten die de bronnen van de journalist onderzoeken, zouden Google kunnen dwingen alles over te dragen - zelfs als de gegevens in Europa staan en de journalist Europees is.

  • Een fotograaf in Duitsland gebruikt Dropbox om cliëntfoto’s en contracten op te slaan. Indien onder onderzoek om welke reden dan ook, zouden Amerikaanse autoriteiten tot die bestanden kunnen toegang krijgen zonder door Duitse rechtbanken te gaan.

  • Een activist in Hongarije gebruikt Gmail en Google Foto’s. Amerikaanse autoriteiten zouden hun e-mails en foto’s kunnen benaderen als zij een juridische grondslag hadden.

Dit zijn geen paranoïde scenario’s. Dit is hoe de wet werkelijk werkt.

Hoe de CLOUD Act Verschilt van Andere Regels

Je zou wetten kunnen horen zoals GDPR, SCHREMS II of gegevens adequaatbeslissingen. Dit zijn belangrijk, maar ze werken anders:

  • GDPR zegt bedrijven hoe zij je gegevens moeten verwerken. Het stopt overheden niet.
  • Gegevensadequaatbeslissingen (bijvoorbeeld tussen de EU en VS) proberen vertrouwen tussen regio’s op te bouwen. Maar ze ondergraven CLOUD Act niet.
  • SCHREMS II maakte het moeilijker om gegevens tussen continenten te verplaatsen. Maar het verhindert CLOUD Act-verzoeken niet eenmaal gegevens bij een Amerikaans bedrijf zijn.

De CLOUD Act staat boven het meeste van dit - het is een direct juridisch pad voor Amerikaanse autoriteiten om gegevens op te eisen.

Wat Kun Je Eigenlijk Doen?

Je kunt je niet uit de CLOUD Act afmelden. Maar je hebt wel keuzes:

1. Gebruik Europese alternatieven. Diensten zoals Nextcloud, Proton (gebaseerd in Zwitserland) of kleinere Europese aanbieders zijn niet onderworpen aan CLOUD Act omdat zij geen Amerikaanse bedrijven zijn. Dit geeft je echte bescherming onder Europese wet.

2. Versleutel voor uploaden. Als je gegevens end-to-end versleuteld zijn (jij houdt de sleutels, het bedrijf niet), kunnen bedrijven geen leesbare gegevens overhandigen zelfs als autoriteiten eisen het. Zoek naar diensten met zero-knowledge architectuur.

3. Begrijp het risico. Voor losse familiekiekjes? Misschien is het risico acceptabel. Voor gevoelige documenten, medische gegevens of wat dan ook wat je privé moet houden? Het is de moeite waard om alternatieven in overweging te nemen.

4. Steun privacywetgeving. Pleit voor sterkere Europese gegevensbeschermingswetten en regelgeving die beperken hoe Amerikaanse autoriteiten gegevens van EU-burgers kunnen benaderen.

Waarom PixelUnion Bestaat

We hebben PixelUnion gebouwd precies vanwege zorgen zoals dit. PixelUnion is een Europese, privacy-eerste beheerde foto- en videopslagdienst. Je gegevens blijven in Europa, onder Europese juridische bescherming. We verkopen je gegevens niet, we bouwen profielen op je op niet, en we zijn niet onderworpen aan de CLOUD Act omdat we geen Amerikaans bedrijf zijn.

We geloven dat je je foto’s en herinneringen moet kunnen opslaan zonder je af te vragen of een buitenlandse regering ze zonder jouw kennis of toestemming kan benaderen.

De CLOUD Act is geen geheim complot. Het is een echte wet met echte gevolgen. Je hoeft niet in paniek te geraken, maar je moet het wel begrijpen - vooral als je om je privacy geeft. Je foto’s vertellen je verhaal. Je verdient het om te weten wiens regels dat verhaal beschermen.

Ontdek privacygerichte fotopslag zonder CLOUD Act-zorgen. Lees meer over PixelUnion.