De CLOUD Act: Amerikaanse jurisdictie over jouw data
De Amerikaanse CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) geeft Amerikaanse autoriteiten het recht om data op te vragen bij Amerikaanse techbedrijven — ook als die data zich fysiek in Nederland bevindt.
Volgens § 2713 (Stored Communications Act, aangepast via de CLOUD Act):
“A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter regardless of whether such communication or record is located within or outside of the United States.”
— 18 U.S.C. § 2713
Dit betekent: als een Amerikaanse rechter een bevel geeft, móét de Amerikaanse aanbieder data overhandigen — óók als die zich in een EU-datacenter bevindt. Dus ook gegevens van Nederlandse advocaten en hun cliënten.
Hoe Nederlands je tool ook lijkt: de fundering is Amerikaans
Het risico geldt niet alleen voor tools van grote Amerikaanse merken. Juist veel juridische AI-toepassingen die zich richten op de Nederlandse markt — bijvoorbeeld voor contractanalyse, jurisprudentieverwerking of procesmodellering — zijn gebouwd op foundation models van Amerikaanse partijen zoals OpenAI (ChatGPT), Anthropic, Meta (LLaMA) of Google (Gemini).
Er zijn momenteel nauwelijks Europese alternatieven van vergelijkbare kracht of schaal. Zelfs ogenschijnlijk Nederlandse AI-tools gebruiken onder de motorkap via API’s Amerikaanse modellen, en draaien op cloudinfrastructuren van AWS, Microsoft Azure of Google Cloud.
De kern: wie AI gebruikt, werkt met Amerikaans DNA. En dus onder CLOUD Act-risico’s.
Botsing met de AVG en beroepsgeheim
Dit staat haaks op de eisen uit de AVG (artikelen 44–49), waarin is vastgelegd dat doorgifte van persoonsgegevens aan derde landen alleen mag met adequate bescherming. Bovendien zijn advocaten gebonden aan het beroepsgeheim.
Maar volgens § 2523(b) van de CLOUD Act:
“An order issued under this chapter may not be quashed or modified solely on the basis that the data is located outside the United States.”
— 18 U.S.C. § 2523(b)
Zelfs als de data zich in Nederland bevindt, kan deze via een Amerikaans platform toch worden opgeëist — zonder dat jij, als advocaat, hiervan op de hoogte wordt gesteld.
De enige veilige route: anonimiseren vóór je AI gebruikt
De juridische realiteit is onverbiddelijk. Er is nog geen robuust Europees AI-ecosysteem dat op eigen benen staat. Zolang AI-tools draaien op Amerikaanse modellen en clouds, is er maar één betrouwbare manier om je cliënten en je beroepsgeheim te beschermen: anonimiseren van data vóór invoer in AI-systemen.
Dat betekent: geen namen, geen BSN’s, geen herleidbare context — alleen geabstraheerde input. Pas dan is de data buiten het bereik van de CLOUD Act en blijf je binnen de kaders van de AVG.
Conclusie
Hoe Nederlands je AI-tool ook oogt, het fundament is vaak Amerikaans — en dus kwetsbaar. De CLOUD Act dwingt ons tot een kritische blik op hoe we met cliëntdata omgaan in een AI-tijdperk. Anonimiseren is geen keuze, maar een randvoorwaarde voor verantwoord en legaal AI-gebruik in de advocatuur.”
