De nieuwe propositie van AWS, de European Sovereign Cloud van AWS, moet Europese beleidsmakers en beslissers geruststellen als het gaat om soevereiniteit. Maar tot nu toe bleven ultieme garanties uit. Het Strategisch Leveranciersmanagement (SLM) van het Ministerie van Justitie en Veiligheid vroeg advocatenkantoor Greenberg Traurig om een analyse.
De uitkomst van het rapport van Greenberg Traurig is duidelijk. Soevereine cloudtechnologie is een stap in de goede richting, maar juridisch gezien kan de VS nog steeds bij de data. Opvallend is dat de rijksoverheid het onderzoeksrapport enkele dagen online had staan, maar dat het nu van de radar verdwenen is.
Bron: NRC 15 januari 2026 – klik voor een vergroting
De uitkomsten van dit onderzoek zijn bepalend voor de toekomstige inkoopstrategie van de Rijksoverheid. Die had als centrale vraag aan Greenberg Traurig voorgelegd of overheidsorganisaties de volledige controle behouden over hun data en de beschikbaarheid van hun systemen wanneer zij gebruikmaken van de AWS-infrastructuur.
De European Sovereign Cloud van AWS wordt gepresenteerd als een cloudomgeving die volgens AWS volledig in Europa ontwikkeld, beheerd, gecontroleerd en beveiligd wordt en die onafhankelijk is van de wereldwijde AWS-cloud. NRC wist in een interview begin dit jaar al boven tafel te krijgen dat AWS als het er echt op aankomt, geen garanties kan geven over invloed vanuit de VS op het Europese bedrijf.
GreenbergTraurig onderstreept wat NRC al eerder uitvond
In de korte tijd dat het rapport online stond, hebben zowel Dutch IT Leaders als iBestuur gepubliceerd over de bevindingen van Greenberg Traurig.
Volgens Dutch IT Leaders focust het rapport op de technische en juridische waarborgen die AWS biedt binnen de European Sovereign Cloud. Er is specifiek gekeken naar mechanismen die moeten voorkomen dat onbevoegden – inclusief buitenlandse overheden of AWS zelf – toegang krijgen tot gevoelige overheidsgegevens. Ook de continuïteit van de dienstverlening bij eventuele internationale conflicten of juridische geschillen is onderdeel van de beoordeling.
Toegang tot Nederlandse data of zelfs opschorten van AWS-diensten kan ook Greenberg Traurig niet uitsluiten, al acht het advocatenkantoor beide scenario’s ‘onwaarschijnlijk’. De uitleg op iBestuur: zelfs als gegevens in de EU worden opgeslagen en verwerkt door een in de EU gevestigde entiteit, kunnen ze nog steeds onderworpen zijn aan verzoeken om toegang tot gegevens door de VS vanwege de Amerikaanse jurisdictie. “De contracterende EU-entiteiten (AWS EMEA SARL en AWS EU) hebben een Amerikaanse moedermaatschappij, waardoor Amerikaanse verzoeken om toegang technisch van toepassing kunnen zijn,” citeert iBestuur.
Opschorting ‘onwaarschijnlijk’
Als het gaat om het opschorten van de dienstverlening – iets wat de bedrijfscontinuïteit kan raken – spreekt Greenberg Traurig van “theoretisch mogelijk vanuit Amerikaanse wetgeving”, maar in de praktijk “niet voorstelbaar”. Er zijn op dit moment, aldus het kantoor, ook geen bekende Executive Orders of soortgelijke instrumenten die dit mogelijk maken. Toekomstige EO’s blijven echter wel theoretisch mogelijk, maar ook op dit punt spreekt het advocatenkantoor weer over “onwaarschijnlijk”, net als het zich voordoen van informele druk (politieke of economisch) om AWS tot opschorting te bewegen.
Ziptone heeft vragen gesteld aan SLM over het offline halen van het rapport.
AWS lijkt een vergelijke route af te leggen als Microsoft deed in de zomer van 2025. Toen werden twee Europese directeuren van Microsoft onder ede verhoord door een Franse Senaatscommissie. Aan hen werden vragen gesteld over de invloed van Amerikaanse extraterritoriale wetgeving (zoals de CLOUD Act) op gegevens die in Europa worden opgeslagen.
Tijdens de zitting vroeg senator Dany Wattebled aan Anton Carniaux (directeur publieke en juridische zaken, Microsoft) en Pierre Lagarde (technisch directeur voor de publieke sector, Microsoft) of Microsoft onder eed kon garanderen dat data van Franse burgers die via het inkoopplatform UGAP op Azure worden opgeslagen, nooit aan de Amerikaanse overheid zouden worden overgedragen zonder expliciete toestemming van de Franse autoriteiten. Het antwoord van Carniaux luidde: “Non, je ne peux pas le garantir, mais, encore une fois, cela ne s’est encore jamais produit” ofwel: “nee, ik kan dat niet garanderen, maar dat is tot nu toe nog nooit gebeurd”.
De commissie herhaalde later in haar rapport dat Microsoft France, als Amerikaans bedrijf, niet in staat is de volledige soevereiniteit van door haar gehoste gegevens te garanderen. De opstellers van het rapport merken op dat de Franse overheid de afhankelijkheid van buitenlandse cloud‑dienstverleners als Microsoft serieus moet heroverwegen.
Update:
De documenten worden naar verwachting eind deze week opnieuw gepubliceerd, inclusief een aanvullende toelichting, aldus een woorvoerder van het ministerie van Justitie.
(Ziptone)
Ook interessant
-
Genesys kondigt vandaag plannen aan om het Genesys Cloud-platform beschikbaar te stellen via de AWS European Sovereign Cloud.
-
Voor wie nog een cloudmigratie op de planning heeft staan: wat betekent soevereine cloud? En wat betekent 'uptime' als volledige…
-
Amazon Web Services (AWS) zet verdere stappen richting Europese digitale autonomie met de uitbouw van de AWS European Sovereign Cloud.