Amerikaanse wetgeving
De CLOUD Act
Clarifying Lawful Overseas Use of Data Act (2018)
De CLOUD Act is een Amerikaanse wet die Amerikaanse bedrijven verplicht om data te overhandigen aan Amerikaanse autoriteiten, zelfs als die data fysiek in het buitenland staat.
Wat betekent dit?
Als u data opslaat bij AWS, Microsoft Azure of Google Cloud, kan de Amerikaanse overheid deze data opvragen zonder dat u dit weet of hier toestemming voor geeft.
Geen locatie bescherming
Het maakt niet uit of uw data in een Europees datacenter staat. Zolang de provider Amerikaans is, valt uw data onder Amerikaanse jurisdictie.
Vaak geen kennisgeving
Providers kunnen wettelijk verboden worden u te informeren wanneer uw data wordt opgevraagd. U weet mogelijk nooit dat dit is gebeurd.
Grootschalige surveillance
De NSA kan via gerichte selectors grote hoeveelheden data verzamelen van niet-Amerikaanse personen en bedrijven via Amerikaanse technologiebedrijven.
Geen rechterlijke toets
Voor niet-Amerikanen is geen individueel rechterlijk bevel nodig. Uw communicatie kan worden verzameld zonder specifieke verdenking.
Verplichte medewerking
Amerikaanse bedrijven zijn wettelijk verplicht mee te werken en kunnen verboden worden om dit openbaar te maken.
Surveillance
FISA Section 702
Foreign Intelligence Surveillance Act
FISA Section 702 staat Amerikaanse inlichtingendiensten toe om communicatie van niet-Amerikanen buiten de VS te verzamelen, zonder individueel rechterlijk bevel.
Directe surveillance
Executive Order 12333
Executive Order (1981)
Waar FISA bedrijven dwingt om data te overhandigen, gaat EO 12333 een stap verder: het autoriseert Amerikaanse inlichtingendiensten om zelf data te verzamelen, rechtstreeks uit communicatie-infrastructuur.
Directe verzameling
De NSA kan data aftappen uit onderzeese kabels, internet exchanges en andere infrastructuur, zonder medewerking van bedrijven.
Geen rechterlijk toezicht
Anders dan FISA kent EO 12333 geen enkele vorm van rechterlijk toezicht. Verzameling gebeurt volledig onder executive authority.
Bulk verzameling
EO 12333 maakt het mogelijk om grote hoeveelheden data in bulk te verzamelen. Alle data die over Amerikaans netwerk stroomt kan worden onderschept.
Schrems II: Europa erkent het probleem
In 2020 oordeelde het Europese Hof van Justitie dat het Privacy Shield ongeldig is omdat Amerikaanse surveillancewetten onvoldoende bescherming bieden voor Europese burgers. In 2023 is het EU-US Data Privacy Framework (DPF) aangenomen als opvolger, maar privacy-experts en toezichthouders betwijfelen of dit de juridische toets zal doorstaan. De onderliggende Amerikaanse wetten zijn immers niet veranderd.
“Het beschermingsniveau in de VS is niet gelijkwaardig aan dat in de EU vanwege de toegangsmogelijkheden van Amerikaanse inlichtingendiensten.”
Nederlands beleid
Rijksbrede Cloudbeleid: Nederland waarschuwt
In 2022 publiceerde de Nederlandse overheid het Rijksbrede Cloudbeleid. Dit kader bepaalt onder welke voorwaarden de rijksoverheid clouddiensten mag gebruiken en waarschuwt expliciet voor afhankelijkheden van niet-Europese aanbieders.
Bron: Rijksbrede Cloudbeleid, Ministerie van BZK (2022)
Risico-afweging verplicht
Overheidsorganisaties moeten een risico-afweging maken rond veiligheid, privacy en digitale autonomie voordat zij clouddiensten afnemen.
Waarschuwing voor niet-Europese aanbieders
Het beleid waarschuwt expliciet voor risicovolle afhankelijkheden van niet-Europese cloudproviders vanwege buitenlandse wetgeving zoals de CLOUD Act.
Digitale autonomie
Nederland streeft naar digitale autonomie: controle over eigen data en minder afhankelijkheid van buitenlandse technologiebedrijven.
Wat betekent dit voor uw organisatie?
In elke organisatie wordt vertrouwelijke informatie gedeeld tijdens meetings. Of het nu gaat om kwartaalcijfers, HR-gesprekken of strategische beslissingen. Voor sommige branches gelden daarnaast expliciete wettelijke eisen rond geheimhouding en dataverwerking.
Algemeen
Elke organisatie
Elk bedrijf dat vergaderingen, gesprekken of interviews opneemt, deelt vertrouwelijke informatie. U heeft het recht om te bepalen wie daar toegang toe heeft. Niet een buitenlandse overheid.
Specifiek
Accountancy
Financiële gegevens en cliëntgesprekken kunnen toegankelijk zijn voor Amerikaanse autoriteiten, wat in strijd kan zijn met uw geheimhoudingsplicht.
Specifiek
Juridisch
Het verschoningsrecht kan worden ondermijnd als gesprekken met cliënten worden opgeslagen bij Amerikaanse providers.
Specifiek
Zorg
Patiëntgegevens vallen onder strenge privacywetgeving (AVG, NEN 7510). Amerikaanse toegang tot deze data is een compliance risico.
De oplossing
Hoe Voxal dit oplost
Voxal is van de grond af opgebouwd voor datasoevereiniteit. Geen compromissen.
Eigen geïsoleerd netwerk
Uw Voxal-omgeving draait volledig binnen een eigen geïsoleerd netwerk in Nederland. De applicatie maakt geen verbindingen met externe diensten.
Geen externe API's
We gebruiken geen externe cloud diensten of API's, ook geen Europese. Alle AI-verwerking gebeurt lokaal binnen uw omgeving.
Nederlandse onderneming
Voxal is een product van slashslash B.V., een Nederlandse onderneming onderworpen aan Nederlandse en Europese wetgeving.
Per-klant isolatie
Elke klant heeft een eigen, volledig afgeschermde omgeving. Uw data raakt nooit die van anderen en verlaat uw omgeving nooit.
Uw data blijft van u
Wij gebruiken uw data nooit voor AI training of andere doeleinden. Wat u uploadt, blijft van u.
Volledige transparantie
We vertellen u precies waar uw data staat en hoe deze wordt verwerkt. Geen kleine lettertjes.
Compliance & certificeringen
Wij werken samen met Leafcloud, een gecertificeerde Nederlandse datacenter partner.
AVG / GDPR
Volledig compliant met de Europese privacyverordening.
Nederlandse wet
Onderworpen aan Nederlands recht en Nederlandse rechtspraak.
ISO 27001
Onze datacenter partner Leafcloud is ISO 27001 gecertificeerd.
SOC2 Type II
Leafcloud beschikt over SOC2 Type II certificering voor security controls.
Kies voor datasoevereiniteit
Wilt u meer weten over hoe Voxal uw data beschermt? Neem contact met ons op voor een persoonlijk gesprek.