“Is de cloud veilig?” Een vraag die je misschien weleens hebt gehoord. Of misschien vraag je het jezelf af.
Het korte antwoord: technisch gezien zijn diensten als Google Drive en Dropbox prima beveiligd. Maar juridisch ligt het ingewikkelder. Amerikaanse bedrijven vallen namelijk onder wetten die de overheid toegang geven tot jouw data – ook als die data in Europa staat.
In dit artikel leg ik uit hoe dat zit, wat de risico’s zijn, en wat je er zelf aan kunt doen. Geen paniek, gewoon de feiten.
Wat heb je eigenlijk in de cloud staan?
Voordat we verder gaan: even stilstaan bij wat “de cloud” eigenlijk betekent. Het klinkt vaag, maar het is heel concreet: de cloud zijn gewoon servers van grote techbedrijven waar jouw bestanden op worden bewaard. Geen wolk, maar computers in een datacenter.
En waarschijnlijk staat daar meer van jou dan je denkt:
- Foto’s en video’s – Je iPhone of Android maakt automatisch backups
- Documenten – Word-bestanden, spreadsheets, pdf’s
- E-mail – Gmail, Outlook, alles wordt online bewaard
- Wachtwoorden – Als je Chrome of Safari gebruikt, staan die in de cloud
- Telefoon-backups – Contacten, agenda, app-data, berichten
Al deze persoonlijke informatie staat ergens op servers van grote techbedrijven. De vraag is: wie kan daar nog meer bij?
Zijn Amerikaanse clouddiensten veilig?
Technisch gezien: ja. Google, Microsoft, Apple en Dropbox hebben goede beveiliging tegen hackers.
Maar er is een ander probleem. Alle Amerikaanse bedrijven vallen onder de CLOUD Act – een wet die de Amerikaanse overheid toegang geeft tot data van Amerikaanse bedrijven, waar ter wereld die data ook staat.
Laten we de populairste diensten langsgaan.
Is Google Drive veilig?
Google ontving in de tweede helft van 2023 meer dan 60.000 dataverzoeken van de Amerikaanse overheid (Transparency Report).
Maar Google Drive staat niet op zichzelf. Als je een Google-account hebt, gaat het ook om:
- Gmail (al je e-mails)
- Google Photos (al je foto’s)
- Je locatiegeschiedenis
- Je zoekgeschiedenis
- YouTube (wat je kijkt)
Ongeveer 64% van de Nederlanders gebruikt Android (StatCounter). Als jij daar ook bij hoort, staat je complete telefoon-backup bij Google.
Conclusie: Technisch veilig, maar enorm veel persoonlijke data onder één account – en dat account valt onder de CLOUD Act.
Is Dropbox veilig?
Bij Dropbox speelt niet alleen de CLOUD Act, maar ook een recente beveiligingsincident.
In april 2024 kregen hackers toegang tot Dropbox Sign (hun handtekeningendienst). Gestolen: e-mailadressen, gebruikersnamen, telefoonnummers, en gehashte wachtwoorden (The Hacker News, Varonis).
Eind 2025 vecht Dropbox nog steeds tegen rechtszaken hierover.
Conclusie: Niet alleen juridisch kwetsbaar door de CLOUD Act, maar ook recente beveiligingsproblemen.
Is OneDrive veilig?
In juni 2025 gaf een directeur van Microsoft onder ede toe dat ze niet kunnen garanderen dat Europese data veilig is voor Amerikaanse toegang.
Het letterlijke citaat: “Nee, dat kan ik niet garanderen, maar het is nog nooit gebeurd.” (WinBuzzer, Convotis)
In de eerste helft van 2024 ontving Microsoft 5.560 juridische verzoeken uit de VS, waarvan 52 voor data die buiten de VS stond.
Extra relevant: bijna alle Nederlandse gemeenten en scholen gebruiken Microsoft.
Conclusie: Zelfs Microsoft geeft toe dat ze je niet volledig kunnen beschermen.
Is iCloud veilig?
Apple heeft een betere reputatie op het gebied van privacy. Maar ook Apple valt onder de CLOUD Act.
In de eerste helft van 2024 ontving Apple ruim 12.000 dataverzoeken van de Amerikaanse overheid. Bij verzoeken over apparaatgegevens werkten ze aan 85% mee. Maar Apple is wel strenger geworden: bij push-notificatie verzoeken (waarmee overheden je kunnen volgen) daalde hun medewerking van 88% naar slechts 28% (9to5Mac).
Toch blijft het kernprobleem: in 2025 haalde Apple hun sterkste beveiligingsoptie (Advanced Data Protection) weg voor Britse gebruikers, na druk van de overheid (Ranking Digital Rights). Als de Britse overheid dit kan afdwingen, kan de Amerikaanse dat ook.
Conclusie: Betere reputatie, en ze vechten harder terug dan anderen – maar dezelfde juridische realiteit.
Nederlandse context: de Solvinity-les
Dit klinkt misschien abstract, maar het raakt ook jouw DigiD.
In november 2025 kocht het Amerikaanse bedrijf Kyndryl het Nederlandse Solvinity. Solvinity beheert onder andere DigiD, MijnOverheid, en systemen voor de rechtspraak (Computable, iBestuur).
Solvinity was juist gekozen door de overheid om de CLOUD Act te vermijden. Dat is nu dus niet meer gelukt.
Professor Eric Verheul, hoogleraar cybersecurity, waarschuwde dat een platformbeheerder in theorie toegang heeft tot gevoelige gegevens. De staatssecretaris erkende uiteindelijk dat er “in theorie” risico’s zijn – nadat hij eerst ontkende dat er een probleem was.
De les: Als de Nederlandse overheid dit niet kon voorkomen voor DigiD, wat zegt dat over jouw Dropbox?
Wat is de CLOUD Act precies?
De CLOUD Act (Clarifying Lawful Overseas Use of Data Act) is een Amerikaanse wet uit 2018.
Het kernprincipe is simpel: de wet volgt het bedrijf, niet de server.
Als een bedrijf Amerikaans is, moet het data afgeven aan de Amerikaanse overheid als die erom vraagt. Het maakt niet uit waar de servers staan – in Amsterdam, Frankfurt, of waar dan ook.
CLOUD Act-verzoeken zijn de afgelopen jaren fors gestegen. Ondertussen is de Amerikaanse toezichthouder op dit gebied (PCLOB) grotendeels ontmanteld (nieuws.marketing).
Maar zeggen die bedrijven niet dat het veilig is?
Ja, en hier is waarom die beloftes weinig waard zijn.
“We vechten voor je privacy”
In april 2025 beloofde Microsoft’s Brad Smith dat ze de VS zouden aanklagen als die hun EU-cloudoperaties zou proberen te stoppen (EU Insider).
Twee maanden later gaf diezelfde Microsoft onder ede toe dat ze niets kunnen garanderen.
Wire CEO Benjamin Schilz noemt dit “magical thinking” – een belofte zonder juridische basis (Wire).
“Je data staat in Europa”
Klinkt geruststellend, maar het helpt niet. De CLOUD Act volgt het eigenaarschap van het bedrijf, niet de locatie van de server.
Data in Frankfurt of Amsterdam is juridisch toegankelijk als de aanbieder Amerikaans is. De fysieke locatie van je bestanden beschermt je niet (OpenCloud).
“We versleutelen alles”
Klopt vaak. Maar de vraag is: wie beheert de sleutels?
Bij de meeste diensten beheert de aanbieder de encryptiesleutels. Dat betekent dat zij je data kunnen ontsleutelen als een overheid daarom vraagt.
Alleen bij zero-knowledge encryptie (waarbij alleen jij de sleutel hebt) is je data echt beschermd.
Wat kun je zelf doen?
Het goede nieuws: je kunt hier iets aan doen. Geen perfecte oplossing, maar wel een stuk beter.
1. Kies voor zero-knowledge encryptie
Bij diensten als Proton Drive, Tresorit en pCloud Crypto heb alleen jij de sleutel. Zelfs als het bedrijf morgen wordt verkocht aan een Amerikaans bedrijf, kunnen ze je data niet ontsleutelen.
Dit is de sterkste bescherming: de techniek beschermt je, ongeacht wie de eigenaar is.
2. Check wie er echt aan de touwtjes trekt
“Nederlands bedrijf” kan betekenen: Nederlandse B.V., maar met een Britse of Amerikaanse eigenaar (zie Solvinity).
Kijk naar wie de Ultimate Beneficial Owner (UBO) is, niet alleen waar het hoofdkantoor staat.
3. Overweeg zelf hosten
Nextcloud op je eigen server of bij een Europese hoster: dan ben je niet afhankelijk van wat er met een bedrijf gebeurt.
Dit is technischer en voor de meeste mensen een stap te ver. Maar het bestaat, en het werkt.
4. Wees realistisch
Geen oplossing is 100% waterdicht. Maar diensten als Proton (Zwitserland), Jottacloud (Noorwegen), en Tresorit (Zwitserland) vallen nu niet onder Amerikaanse jurisdictie.
Dat is een stuk beter dan Google, Dropbox of OneDrive die nu al onder de CLOUD Act vallen.
Elk beetje helpt.
Mijn aanbevelingen
Ik gebruik zelf al jaren Europese alternatieven. Hier zijn mijn andere artikelen als je wilt overstappen:
- E-mail: Veilig e-mail alternatief – Weg van Gmail en Outlook
- Wachtwoorden: Wachtwoordmanagers uitgelegd – Veilig je wachtwoorden beheren
- Berichten: WhatsApp alternatieven – Ook Meta valt onder de CLOUD Act
- AI: ChatGPT alternatief met privacy – AI gebruiken zonder dat de aanbieder kan meelezen
Conclusie
Amerikaanse clouddiensten zijn technisch veilig – ze hebben goede beveiliging tegen hackers.
Maar juridisch heb je minder bescherming dan je denkt. De CLOUD Act geeft de Amerikaanse overheid toegang tot jouw data, waar die ook staat.
Geen paniek nodig. Wel bewustzijn. En het overstappen naar Europese alternatieven is makkelijker dan je denkt.