CLOUD Act, gegevenssoevereiniteit en Zwitserland: een keerpunt voor Europese IT-strategieën?

24 december 202528 november 2025 door Markus Schall

Half november gebeurde er iets in Zwitserland dat bijna niemand in deze vorm had verwacht: De commissarissen voor gegevensbescherming van het land namen een duidelijke, bijna historische resolutie aan. De boodschap erachter is eenvoudig - en tegelijkertijd zeer controversieel: overheidsinstanties mogen hun meest gevoelige gegevens niet langer zonder aarzelen uitbesteden aan internationale clouddiensten zoals Microsoft 365. Waarom?

Want de verantwoordelijkheid voor bijzonder vertrouwelijke gegevens - gezondheidsdossiers, sociale dossiers, strafrechtelijke onderzoeken, interne documenten - mag niet worden overgedragen aan bedrijven die de toegang tot deze gegevens technisch nooit volledig kunnen uitsluiten. Dit is precies de kern van het Zwitserse besluit. Je hoeft niet diep in de IT te zitten om het basisidee te begrijpen. Vroeger werden belangrijke dossiers opgeslagen in een afgesloten archiefkast in het gemeentehuis. Tegenwoordig worden dezelfde gegevens vaak ergens in het buitenland opgeslagen - op de servers van grote Amerikaanse bedrijven, die op hun beurt gebruik maken van hun eigen partnerbedrijven en onderaannemers. En zelfs als deze providers ons verzekeren dat alles veilig is, kunnen de autoriteiten dit zelf niet echt meer controleren.

Sociale kwesties van nu

Staat van de Duitse economie in 2025

De toestand van de Duitse economie in 2025: vijf jaar crisis, cijfers, trends en vooruitzichten

Beslissingen in de schaduw van onrust

Carrière, wereldbeeld, toekomst: beslissingen in de schaduw van verandering

Internationaal recht en op regels gebaseerde wereldorde

Op regels gebaseerde wereldorde en internationaal recht: tussen claim, realiteit en schending van het recht

Een onverwacht telefoontje

Als plicht weer plicht wordt. Een soort essay van de heer von L'oreot.

Er is ook een punt dat vaak over het hoofd wordt gezien in het publieke debat: Amerikaanse bedrijven kunnen worden gedwongen om gegevens te overhandigen onder Amerikaanse wetten zoals de CLOUD Act - zelfs als deze gegevens eigenlijk in Europa zijn opgeslagen. Voor Europese landen, en nog meer voor een land als Zwitserland, dat traditioneel veel waarde hecht aan onafhankelijkheid, is dit een zware last. Tegen deze achtergrond hebben de Zwitserse autoriteiten voor gegevensbescherming nu hun standpunt duidelijk gemaakt:

Als een overheidsinstantie gegevens opslaat die speciaal beschermd zijn of zelfs onder het officiële beroepsgeheim vallen, dan mag niemand anders - zelfs geen cloudprovider - er toegang toe hebben. En zolang er geen echte end-to-end encryptie is waarbij alleen de autoriteit de sleutels beheert, is dit eenvoudigweg niet haalbaar met de huidige clouddiensten.

Zwitserland trekt dus aan het koord - uit voorzichtigheid, traditie en een diepgeworteld inzicht dat overheidsgegevens een bijzonder waardevol bezit zijn. En het is interessant dat Duitse autoriteiten, functionarissen voor gegevensbescherming en IT-managers nu ook goed kijken of hier een nieuwe standaard aan het ontstaan is.

Wat de Zwitserse resolutie echt zegt

Hoe Heise Online en Inside IT Zoals we in ons verslag meldden, werd deze beslissing genomen door de Data Protection Conference privatim, een vereniging van de Federal Data Protection Commissioner en alle kantonnale toezichthoudende autoriteiten. Hoewel haar besluiten geen wetten zijn, hebben ze een enorm gewicht. In de praktijk implementeren veel autoriteiten hun richtlijnen alsof ze bindend zijn - omdat ze aangeven wat toelaatbaar en verantwoord is vanuit het oogpunt van gegevensbescherming. Voor wie is de resolutie bedoeld? De doelgroep zijn overheidsinstanties:

Federale autoriteiten
Kantonale kantoren
Gemeenten
Rechtbanken
overheidsinstellingen

Particuliere bedrijven worden formeel niet geraakt door de resolutie. Maar als de normen voor staatsinstellingen zo strikt worden vastgesteld, zal het voor de particuliere sector moeilijk worden om in de toekomst een veel laksere aanpak te hanteren - vooral op gebieden als gezondheidszorg, onderwijs en verzekeringen.

De belangrijkste boodschap: gevoelige gegevens horen niet thuis in internationale clouds

De Resolutie formuleert het voorzichtig maar ondubbelzinnig: de meeste gevoelige overheidsgegevens mogen niet worden uitbesteed aan clouddiensten zolang de providers technische toegang kunnen krijgen. En dit geldt niet voor zomaar een nichetoepassing, maar juist voor die cloudproducten die veel overheden nu standaard gebruiken, waaronder

Microsoft 365
Google Werkruimte
Diverse SaaS-applicaties van internationale aanbieders

Het knelpunt is altijd hetzelfde: er is geen echte end-to-end encryptie wanneer de autoriteit de sleutels bezit en de provider technisch is uitgesloten. Zolang de clouddienst zelf updates uitrolt, configuraties uitvoert of beheerdersrechten heeft in geval van ondersteuning, blijft theoretische toegang bestaan - en dat is meer dan genoeg risico voor Zwitserse deskundigen op het gebied van gegevensbescherming.

Waarom Zwitserland deze lijn trekt

Het Zwitserse besluit volgt een duidelijke logica die kan worden samengevat met een klassiek, bijna ouderwets principe:
Je kunt niet echt beschermen wat niet in je eigen invloedssfeer ligt. Drie motieven staan hierbij centraal:

Bescherming van staatssoevereiniteitStaatsgegevens vormen een fundament van soevereiniteit. Als internationale providers - mogelijk zelfs onder buitenlandse jurisdictie - er in theorie toegang toe kunnen krijgen, verliest de staat een stukje van deze soevereiniteit.
Bescherming van het ambtsgeheimHet ambtsgeheim is bijzonder belangrijk in Zwitserland. Het is niet alleen bedoeld om politieke intriges te voorkomen, maar ook om het vertrouwen van de burgers te garanderen. Zodra gegevens het land verlaten, wordt het moeilijker om dit vertrouwen te garanderen.
Bescherming van bijzonder gevoelige persoonlijke gegevensGezondheidsgegevens, politiedossiers, sociale zaken - dit zijn allemaal gebieden waar onbevoegde toegang ernstige gevolgen zou hebben. En zelfs het kleinste risico wordt hier als onaanvaardbaar beschouwd.

Welke gegevens worden in het bijzonder beïnvloed?

De resolutie spreekt expliciet van:

bijzonder gevoelige persoonlijke gegevens
Gegevens die onder de wettelijke geheimhouding vallen (ambtsgeheim)
Gegevens van politie, justitie, sociale diensten, gezondheidszorg, administratie

Voor dergelijke informatie vraagt de resolutie om een standaard die de huidige SaaS-systemen niet bieden: volledige encryptie onder de exclusieve controle van de autoriteit. Zonder deze standaard is uitbesteding aan internationale clouds „in de meeste gevallen ontoelaatbaar“ - aldus de tekst.

Wat kunnen de autoriteiten nog doen?

Technisch gezien hebben ze maar een smalle gang:

Cloudopslag met eigen upstream encryptie
Gebruik van eigen sleutelinfrastructuur
of volledig lokale oplossingen, d.w.z. on-premise of Zwitserse providers

Dit betekent niet dat overheden de cloud helemaal niet meer mogen gebruiken. Maar ze moeten er wel voor zorgen dat de provider geen mogelijkheid heeft om de gegevens in platte tekst te lezen. En in de praktijk is dit vrijwel onmogelijk met de meeste moderne cloud-tools, omdat deze systemen hun functies alleen kunnen vervullen als ze de gegevens zelf verwerken. Zwitserland zegt dus indirect:

„Gebruik de cloud spaarzaam en alleen waar je er echt controle over hebt.“

En dat is op zich al een opmerkelijke stap, die ook buiten Zwitserland tot discussie leidt.

De vijf belangrijkste argumenten - van het gebrek aan end-to-endencryptie tot de contractloterij

1. gebrek aan echte end-to-endencryptie

Het belangrijkste punt is ook het eenvoudigste: zolang een cloudaanbieder technische toegang heeft tot gegevens, is het niet toegestaan om deze te gebruiken voor bijzonder gevoelige informatie. En dit is precies waar praktisch alle internationale SaaS-aanbiedingen falen - zelfs als ze zichzelf „veilig“, „gecertificeerd“ of „conform gegevensbescherming“ noemen. Waarom? Omdat diensten zoals Microsoft 365, Google Workspace of andere grote cloudplatforms alleen werken als ze de gegevens van ons werk kunnen verwerken: Documenten, e-mails, agenda's, vergaderingen, chats. De systemen analyseren, zoeken, synchroniseren en verbinden inhoud - dat is hun businessmodel.

Echte end-to-end encryptie, waarbij alleen de autoriteit de sleutel bezit en de provider geen inzicht heeft, zou deze functies grotendeels onmogelijk maken. Dit is precies de reden waarom providers in dit opzicht geen volledige scheiding aanbieden. En daarom zeggen de Zwitserse deskundigen op het gebied van gegevensbescherming:

„Zolang dit niet mogelijk is, kunnen we dergelijke systemen niet met een gerust geweten gebruiken.“

2. ondoorzichtige ketens van onderaannemers en gebrek aan controle

Grote cloudproviders werken met een enorm netwerk van onderaannemers. Deze structuren zijn vaak wereldwijd verspreid, veranderen regelmatig en zijn voor buitenstaanders bijna niet te begrijpen. Zelfs als er een officieel contract is met Microsoft of Google, is op de achtergrond vaak het volgende van toepassing:

Andere bedrijven bieden ondersteuning
Externe teams voeren onderhoudswerkzaamheden uit
andere serviceproviders hosten of beheren delen van de infrastructuur

Voor een overheidsinstantie betekent dit dat ze niet precies kan weten wie wanneer toegang heeft of zou kunnen hebben. En dit is in strijd met het principe dat een overheidsinstantie te allen tijde moet kunnen traceren waar haar gegevens zich bevinden en wie er mogelijk toegang toe heeft. De Zwitserse autoriteiten hebben dit punt bewust benadrukt omdat transparantie en verantwoording nauw met elkaar verbonden zijn.

3. eenzijdige contractwijzigingen - de wolk als juridisch wankele basis

Een risicofactor die vaak over het hoofd wordt gezien is het contractontwerp. Veel cloudaanbieders behouden zich het recht voor om hun voorwaarden op elk moment te wijzigen - soms met zeer korte levertijden. Dit is op de een of andere manier acceptabel voor privébedrijven, maar:

Het voorspelbaarheidsbeginsel is van toepassing op overheidsinstanties. De overheid moet kunnen documenteren en rechtvaardigen welke gegevens op welke manier worden verwerkt. Als de randvoorwaarden echter spontaan veranderen - omdat de aanbieder nieuwe clausules invoegt of bestaande clausules beperkt - ontstaat er een situatie waarin de overheid niet meer met zekerheid kan beoordelen of ze zelf aan de wettelijke eisen voldoet.

Zwitserse deskundigen op het gebied van gegevensbescherming vinden deze „contractloterij“ onverenigbaar met de verplichtingen van de staat. Een staat kan niet vertrouwen op bedrijfsmodellen die op elk moment kunnen worden veranderd - zonder medezeggenschap.

4. Risico van controleverlies en grondrechten

Zodra gegevens het land verlaten of buiten het eigen verantwoordelijkheidsgebied worden verwerkt, ontstaat er een risico: de staat verliest een deel van zijn controle.

Dit lijkt op het eerste gezicht abstract, maar in het dagelijks leven is het heel reëel: als er een fout optreedt, als gegevens gecompromitteerd worden of als er een juridisch geschil ontstaat, kan een overheidsinstantie niet langer garanderen dat ze het zonder hulp van buitenaf redt. En dit is precies wat in tegenspraak is met het basisidee van een functionerend openbaar bestuur:

Een staat moet in noodgevallen zelf kunnen handelen - zonder afhankelijk te zijn van externe bedrijven of buitenlandse rechtssystemen. Zwitserse gegevensbeschermers hebben hier een traditionele, bijna ouderwetse benadering - en dit is precies wat hun positie zo consistent maakt. Staatstaken blijven staatstaken. En staatsgegevens horen in overheidshanden.

5 De Amerikaanse CLOUD Act - de kern van de zorgen

De CLOUD Act is misschien wel de belangrijkste achtergrond van deze hele discussie. Deze Amerikaanse wet verplicht Amerikaanse bedrijven om op verzoek gegevens te overhandigen aan Amerikaanse autoriteiten - zelfs als deze gegevens in het buitenland zijn opgeslagen en eigenlijk onder de bescherming van buitenlandse wetten vallen. Voor Zwitserland is dit een absolute no-go.

Dit zou het theoretisch mogelijk maken voor Amerikaanse autoriteiten om toegang te krijgen tot gevoelige Zwitserse administratieve gegevens, zonder dat er Zwitserse rechtbanken of autoriteiten aan te pas hoeven te komen. Zelfs als de cloud providers beweren dat ze dergelijke gegevens alleen onder strikte voorwaarden zullen vrijgeven, blijft het fundamentele probleem bestaan:

De overheid verliest soevereiniteit over haar gegevens - simpelweg door de technische dienstverlener te kiezen. Voor een land dat van oudsher zijn onafhankelijkheid verdedigt, is dit een risico dat niet genomen kan worden. En het is precies dit punt dat de Zwitserse deskundigen op het gebied van gegevensbescherming heel duidelijk maken.

YouTube video thumbnail

Bekijk deze video op YouTube

Zwitserland versus Microsoft 365 - en Duitsland kijkt nauwlettend toe | heise & c't

Zwitserland versus de EU - twee manieren om met Microsoft 365 om te gaan

Terwijl Zwitserland een zeer voorzichtige aanpak hanteert en overheden expliciet waarschuwt tegen het uitbesteden van gevoelige gegevens aan internationale SaaS-diensten, kiest de Europese Unie voor een andere aanpak. Ze probeert een middenweg te vinden door middel van overeenkomsten, contractuele verbeteringen en technische aanpassingen - een weg die clouddiensten niet fundamenteel verbiedt, maar eerder „bruikbaar“ wil maken door voorwaarden te stellen.

Dit verschil is opmerkelijk en zegt veel over hoe verschillend staten omgaan met de kwestie van digitale soevereiniteit.

Zwitserland: voorzichtigheid, gegevenssoevereiniteit en een duidelijke grens

Het Zwitserse standpunt kan in één zin worden samengevat:

„Wat ik niet onder controle heb, laat ik niet uit mijn handen glippen.“

Zwitserland houdt dus vast aan een traditioneel principe: staatsgegevens - vooral geheime of bijzonder gevoelige gegevens - blijven in het land of worden zodanig versleuteld dat alleen de autoriteiten er toegang toe hebben. Het is een bewuste terugkeer naar oude principes, overgebracht naar het heden van de digitale wereld.

De EU: verdragen, vrijstellingen en compromisoplossingen

De Europese Unie kiest voor een andere aanpak. Ze wil de voordelen van grote cloudplatforms benutten zonder ze volledig te verbieden. Met dit doel:

Nieuwe contracten onderhandeld
Gegevensbescherming toegevoegd
Controlemechanismen en audits ingevoerd
Technische garanties achteraf

Een voorbeeld hiervan is het besluit van de Europese Toezichthouder voor gegevensbescherming dat de Europese Commissie Microsoft 365 onder bepaalde voorwaarden mag gebruiken in overeenstemming met de regelgeving voor gegevensbescherming. Soortgelijke uitspraken komen nu van verschillende lidstaten - waaronder delen van Duitsland. Het basisidee:

„We reguleren de cloud in plaats van hem te verbieden.“

Maar deze aanpak is gebaseerd op vertrouwen in de aanbieders - en op het feit dat de complexiteit beheersbaar blijft. Critici spreken dit tegen: Hoe groter het platform, hoe moeilijker het te controleren is.

Duitsland tussen twee werelden

Duitsland zit tussen twee vuren. Sommige overheidsinstanties voor gegevensbescherming zijn voorzichtiger, andere meer praktijkgericht.
In de schoolsector zijn er bijvoorbeeld al strenge beslissingen genomen tegen Microsoft 365, terwijl er op federaal niveau wordt gewerkt aan oplossingen die het gebruik ervan mogelijk maken. Het resultaat: een lappendeken.

Dit is precies de reden waarom veel mensen nu naar de Zwitserse lijn kijken - omdat deze voor het eerst een duidelijke norm stelt in plaats van compromissen te sluiten.

Twee filosofieën botsen

Kort samengevat zijn er twee tegengestelde stromingen:

De Zwitserse traditie: „Onze gegevens blijven bij ons - of ze blijven versleuteld en niemand anders ziet ze.“
De Europese pragmatiek: „We hebben moderne platforms nodig - dus we proberen er zo goed mogelijk mee om te gaan.“

Beide benaderingen hebben hun sterke punten. Maar Zwitserland geeft een duidelijk signaal af: het laat zien dat een staat zich bewust kan richten op digitale onafhankelijkheid in de 21e eeuw zonder afhankelijk te worden van wereldwijde bedrijven.

En deze houding alleen al zorgt ervoor dat autoriteiten, functionarissen voor gegevensbescherming en IT-afdelingen in heel Europa zich afvragen of eerdere praktijken echt zo onweerlegbaar zijn als ze altijd leken.

Criterium / Onderwerp	Zwitserse visie (privé/overheid)	Huidige EU/Duitse praktijk of mening
Doelgroep	Publieke instellingen: Confederatie, kantons, gemeenten, rechtbanken, enz.	Overheden & administraties (gedeeltelijk), maar veel overheden blijven ook SaaS-clouds gebruiken; de regelgeving is soms inconsistent, afhankelijk van het land en de federale staat.
Gegevenstype / gevoeligheid	Gegevens die speciale bescherming of vertrouwelijkheid vereisen (gezondheidszorg, politie, sociale diensten, officiële gegevens, enz.	Cloudgebruik ook mogelijk voor gevoelige gegevens - afhankelijk van risicobeoordeling, gegevensbeschermingsmaatregelen en providercontract; vaak compromissen en individueel verschillende behandeling.
End-to-endencryptie/sleutelsoevereiniteit	Alleen aanvaardbaar als de autoriteit zelf de sleutel beheert en de provider technisch is uitgesloten; anders is gebruik niet toegestaan.	Standaardclouds worden gebruikt, zelfs zonder eigen sleutelsoevereiniteit; versleuteling door de provider is meestal voldoende, op voorwaarde dat er gegevensbeschermingscontracten en -vereisten bestaan.
Onderaannemers / transparantie van de infrastructuur	Ketens van onderaannemers worden als te ondoorzichtig beschouwd - geen geautoriseerd gebruik met kritieke gegevens.	Ketens van onderaannemers worden geaccepteerd - met bewijs van naleving, certificeringen en contractuele voorschriften, maar de transparantie is vaak beperkt.
Contractwijzigingen / wettelijke zekerheid	Eenzijdige contractwijzigingen door providers zijn een no-go - overheidsverplichtingen mogen niet in gevaar worden gebracht.	Diensten worden gebruikt, zelfs als aanbieders contracten kunnen wijzigen; overheden/bedrijven nemen risico's - vaak met wettelijke overeenkomsten en controlemechanismen.
Gevaar door Amerikaanse wetgeving (bijv. CLOUD Act)	Amerikaanse wetten worden als een onaanvaardbaar risico beschouwd - cloudgebruik verboden voor gevoelige gegevens zolang providers onderworpen kunnen zijn aan Amerikaanse gerechtelijke verplichtingen.	Ondanks de CLOUD Act worden internationale clouds gebruikt; risico's worden vaak aanvaardbaar geacht, onder verwijzing naar beschermingsmechanismen, gegevensgrens of standaard contractbepalingen in de EU.
Aanbevolen alternatieven	On-premise, Zwitserse/Europese providers met sleutelsoevereiniteit, eigen infrastructuur of sterk versleutelde opslagoplossingen.	Hybride cloud, providers met datacenters in Europa, clouddiensten onder voorwaarden; veelvuldig gebruik zolang wordt voldaan aan compliancenormen.
Filosofie / houding	Voorzorgsprincipe, controle, staatssoevereiniteit en maximale gegevenssoevereiniteit.	Pragmatisme, compromisvaardigheid, risicobeheer en vertrouwen in contractuele/technische randvoorwaarden.

Een blik over de grens: waarom Duitsland nu beter moet kijken

De Zwitserse resolutie komt op een moment dat Duitse overheden en bedrijven al steeds onzekerder worden over hoe om te gaan met clouddiensten. Aan de ene kant duwt de economie in de richting van de cloud - met de belofte van automatisering, samenwerking en kostenefficiëntie. Aan de andere kant is de hamvraag: hoeveel controle geven we op?

Dit is precies waar het Zwitserse besluit een signaalwerking heeft. Het houdt Duitsland een spiegel voor en laat zien wat er gebeurt als je tot het einde doordenkt. Dit heeft niet alleen gevolgen voor ministeries en overheden, maar ook voor scholen, advocatenkantoren, dokterspraktijken, KMO's en iedereen die met gevoelige gegevens werkt. De Zwitsers zeggen eigenlijk:

„We gebruiken moderne technologie - maar niet ten koste van onze onafhankelijkheid.“

Deze zin zou gemakkelijk boven een Duitse digitale strategie kunnen staan. Dat is het nog niet - maar de discussie heeft een nieuwe impuls gekregen door het besluit van Bern.

De vraag die geen enkel bedrijf kan negeren

Bedrijven moeten zichzelf tegenwoordig een ogenschijnlijk eenvoudige vraag stellen - een vraag die tien of vijftien jaar geleden nauwelijks gesteld zou zijn:

„Wie heeft toegang tot onze gegevens in geval van twijfel?“

Vroeger was het antwoord duidelijk: jezelf. Tegenwoordig is het vaak: „Dat hangt ervan af.“

En juist dit „hangt ervan af“ is voor veel organisaties een probleem. Zodra gegevens worden opgeslagen in cloudsystemen, is het niet langer alleen het bedrijf dat beslist wie er toegang toe heeft. Het bedrijf beslist:

de aanbieder
haar onderaannemers
zijn contractgegevensverwerker
buitenlandse autoriteiten (in het geval van Amerikaanse providers zelfs zonder Europese toestemming)

Als je het nuchter bekijkt, merk je al snel dat er steeds minder duidelijke antwoorden zijn op de vraag naar echte gegevenssoevereiniteit.
En daarom ziet de Zwitserse lijn er opeens niet meer ouderwets uit - maar uitgesproken modern.

De middenklasse tussen comfort en controleverlies

Veel middelgrote bedrijven in Duitsland zitten momenteel gevangen tussen twee polen:

Het gemak van moderne cloudplatforms
- Bestanden overal gesynchroniseerd
- Videovergaderen in seconden
- Geïntegreerde e-mail-, agenda- en communicatiesystemen
Het verlangen naar controle, vertrouwelijkheid en onafhankelijkheid
- vooral voor vertrouwelijke gegevens
- strategische handelsgeheimen
- intellectueel eigendom
- Gegevens van klanten of werknemers

Het Zwitserse besluit laat een mogelijke richting zien: je kunt technologie gebruiken, maar je hoeft niet blindelings elke trend te volgen. Sommige manieren zijn handig, maar handig is niet altijd veilig.

Huidig onderzoek naar digitalisering in het dagelijks leven

Mijn eigen cloud-moment met HostEurope

Ik heb deze Zwitserse ontwikkeling op de voet gevolgd, omdat ik me enige tijd geleden in een vergelijkbare situatie bevond. Bij HostEurope moest mijn hele e-mailsysteem vervangen worden - zonder overleg, zonder navraag. eenvoudigweg gemigreerd naar Microsoft 365 worden. Dit zou hebben betekend dat mijn communicatie plotseling zou worden opgeslagen in een internationale cloud, onder omstandigheden waar ik geen controle over heb en met het risico dat buitenlandse autoriteiten toegang krijgen in geval van twijfel.

Voor mij was dat een duidelijk punt waarop ik zei: Stop - niet op deze manier. Ik heb bewust afgezien van HostEurope omdat ik niet wil dat mijn gegevens worden verplaatst naar een systeem waar ik uiteindelijk geen echte controle meer over heb. Dit ene moment deed me weer beseffen hoe snel je verstrikt kunt raken in structuren die je nooit wilde - en hoe belangrijk het is om zelf aan het koord te trekken voordat anderen de controle over je eigen gegevens overnemen.

Wat de ontwikkeling voor ons allemaal betekent

Als je de ontwikkelingen van de afgelopen jaren nuchter bekijkt, zou je kunnen denken dat de wereld op volle snelheid afstevent op technologische afhankelijkheid. Alles wordt gecentraliseerd, gestandaardiseerd en verplaatst naar de cloud - vaak zonder echt te kijken naar de gevolgen op de lange termijn.

En nu komt er een klein land in het midden van Europa dat iedereen eraan herinnert dat het mogelijk is om anders te handelen: bedachtzaam, respectvol, zorgvuldig - en met een duidelijk zicht op de eigen verantwoordelijkheid. Deze Zwitserse houding is geen stap terug. Het is een terugkeer naar de oude vraag die velen bijna zijn vergeten in de hectiek van de digitalisering:

„Wie is er verantwoordelijk als er iets gebeurt?“

Als het antwoord niet meer duidelijk is, dan is er iets mis.

Wat dit betekent voor elk individu

Uiteindelijk heeft deze beslissing niet alleen gevolgen voor overheidsinstanties of grote bedrijven, maar voor iedereen die gegevens produceert, opslaat of uitwisselt.

Je hoeft geen technicus te zijn om te begrijpen dat elke uitbesteding een stuk controle kost.
Je hoeft geen expert op het gebied van gegevensbescherming te zijn om te beseffen dat gevoelige informatie beter af is als je weet waar deze is opgeslagen.
En je hoeft geen jurist te zijn om te beseffen dat buitenlandse wetten problematisch zijn als ze over je eigen gegevens zouden kunnen beslissen.

Gezond verstand is genoeg. En dit is precies wat Zwitserland weer op de voorgrond probeert te brengen.

Het besluit van Bern is geen oproep tot vijandigheid tegenover technologie, maar een oproep tot onze eigen normen. Het herinnert ons eraan dat digitalisering niet betekent dat we ons blindelings overleveren aan de grootste aanbieders - het betekent dat we ons afvragen hoeveel verantwoordelijkheid we uit handen geven. Over het onderwerp Cloud en gegevenssoevereiniteit Ik heb hier in het verleden al eens een artikel over geschreven.

Ondernemers die voorstander zijn van ERP-software zonder de cloud vindt nuttige informatie in dit aparte artikel.

In zekere zin laat Zwitserland ons iets zien dat we allemaal al lang weten, maar vaak onderdrukken: Soevereiniteit begint niet met technologie - het begint met houding. Met de manier waarop je beslissingen neemt. Met de bereidheid om dingen kritisch te bekijken.

En met de moed om een andere weg in te slaan als dat nodig is, als dat verstandiger is.

Huidige artikelen over EU-wetten

Energieprijzen in Duitsland

De hoge energieprijzen in Duitsland begrijpen: Gas, elektriciteit en benzine eenvoudig uitgelegd

Overzicht van de verplichting om elektronische facturen uit te reiken

Elektronische facturen voor KMO's: XRechnung, ZUGFeRD en ERP in één oogopslag

De digitale euro komt eraan

De digitale euro komt eraan - wat het betekent, wat het niet moet doen en wat het zou kunnen doen

EU-censuurwetten

De nieuwe EU-censuurwetten: Wat Chatcontrol, DSA, EMFA en de AI-wet betekenen

Internationaal recht en op regels gebaseerde wereldorde

Op regels gebaseerde wereldorde en internationaal recht: tussen claim, realiteit en schending van het recht

Alle feiten over het elektronisch patiëntendossier

Een feitencheck van het elektronisch patiëntendossier (EPD): risico's, rechten en bezwaren

Veelgestelde vragen

Waarom heeft Zwitserland zo'n strenge houding aangenomen ten opzichte van internationale clouddiensten zoals Microsoft 365?
Zwitserland volgt een duidelijk principe: staatsgegevens moeten zodanig worden beschermd dat niemand anders dan de bevoegde autoriteit er toegang toe heeft. Internationale cloudaanbieders kunnen technisch en juridisch nooit volledig uitsluiten dat gegevens in noodgevallen voor hen toegankelijk zijn - of dat nu is om onderhoudsredenen, door beheerdersrechten of door overheidsverzoeken vanuit hun thuisland. Dit is een onaanvaardbaar risico voor bijzonder gevoelige gegevens, zoals gegevens die worden verwerkt in de administratie, justitie, politie of gezondheidszorg. De Zwitserse gegevensbeschermingsautoriteiten trekken daarom de logische conclusie en beperken het gebruik van clouds streng zolang er geen echte end-to-end encryptie is onder de exclusieve sleutelsoevereiniteit van de autoriteit.
Geldt deze beslissing voor alle gegevens of alleen voor bepaalde categorieën?
De resolutie is vooral gericht op gegevens die bijzonder gevoelig of vertrouwelijk zijn, zoals gezondheidsgegevens, sociale dossiers, onderzoeksinformatie en interne communicatie met autoriteiten. Zwitserland vereist de hoogste beveiligingsnormen voor deze categorieën, waaraan internationale SaaS-platforms momenteel niet voldoen. Minder gevoelige gegevens kunnen nog steeds worden uitbesteed, maar alleen na een zorgvuldige risicobeoordeling en in overeenstemming met bepaalde beschermende maatregelen.
Worden bedrijven in Zwitserland ook beïnvloed?
Formeel is de resolutie uitsluitend gericht op overheidsinstanties. In de praktijk zal het echter ook gevolgen hebben voor bedrijven, vooral bedrijven die gevoelige of wettelijk beschermde gegevens verwerken - bijvoorbeeld ziekenhuizen, verzekeringsmaatschappijen, banken of onderwijsinstellingen. Als overheidsinstanties bepaalde diensten niet langer mogen gebruiken, zal het voor particuliere organisaties moeilijker worden om dezelfde diensten als „volledig onproblematisch“ te classificeren.
Wat is het grootste technische probleem met Microsoft 365 vanuit Zwitsers perspectief?
Het centrale probleem is het ontbreken van echte end-to-end encryptie. Microsoft 365 vereist toegang tot de inhoud om functies zoals zoeken, indexeren, teamchats, kalenders, anti-spam of AI-functies mogelijk te maken. Dit betekent dat servers en beheerders technisch gezien altijd de platte tekst kunnen zien. Zelfs als Microsoft benadrukt dat het dit niet doet, blijft de mogelijkheid bestaan - en het is precies deze theoretische mogelijkheid die een risico vormt voor de Zwitserse autoriteiten.
Welke rol speelt de Amerikaanse CLOUD Act in de beslissing?
De CLOUD Act verplicht Amerikaanse bedrijven om gegevens te overhandigen op verzoek van Amerikaanse autoriteiten - zelfs als deze gegevens in het buitenland zijn opgeslagen. Voor Zwitserland betekent dit dat zelfs als Microsoft gebruik maakt van Europese of Zwitserse datacenters, gegevens mogelijk toegankelijk moeten worden gemaakt voor Amerikaanse autoriteiten. Deze mogelijke toegang is in strijd met de Zwitserse opvatting over soevereiniteit en officiële geheimhouding. De CLOUD Act wordt daarom genoemd als een serieus tegenargument.
Waarom zijn verdragen of „EU-gegevensgrenzen“ niet genoeg voor Zwitserland?
Contracten en technische beschermingsmaatregelen zijn waardevolle instrumenten, maar ze veranderen de juridische realiteit niet. Als een bedrijf in de VS verplicht is om gegevens te overhandigen, dan is daar geen contract over. Bovendien kunnen grote cloudproviders hun voorwaarden op elk moment wijzigen. Zwitserse deskundigen op het gebied van gegevensbescherming zeggen daarom dat rechtszekerheid niet voortkomt uit beloften, maar uit daadwerkelijke controle over de gegevens - en deze controle is niet volledig gegeven in SaaS-clouds.
Wat betekent de resolutie concreet voor de autoriteiten?
In de toekomst zullen overheden moeten bewijzen dat ze gevoelige gegevens niet op zo'n manier uitbesteden dat een cloud provider er toegang toe zou kunnen krijgen. In de praktijk betekent dit dat Microsoft 365 en andere internationale SaaS-platforms niet langer gebruikt mogen worden voor dergelijke gegevens. Overheden moeten ofwel vertrouwen op lokale oplossingen, overstappen naar Zwitserse providers of hun eigen encryptiemechanismen gebruiken waarbij de provider geen enkele toegang heeft.
Kunnen overheden clouddiensten blijven gebruiken als ze hun eigen encryptie gebruiken?
Ja, maar alleen als de autoriteit de volledige controle over de sleutels behoudt en de provider technisch is uitgesloten. Het probleem: veel clouddiensten werken helemaal niet meer als de inhoud wordt versleuteld voordat deze wordt verwerkt. In de praktijk zou Microsoft 365 daarom alleen bruikbaar zijn als pure oplossing voor gegevensopslag - zonder samenwerkingstools, e-mailsysteem, agenda, Teams of geautomatiseerde Office-functies.
Waarin verschilt het Zwitserse standpunt van de huidige lijn van de EU?
De EU probeert het gebruik van Microsoft 365 in overeenstemming te brengen met de regelgeving voor gegevensbescherming door middel van overeenkomsten, audits en contractuele garanties. Het doel is om de voordelen van de cloud te benutten zonder ze fundamenteel in twijfel te trekken. Zwitserland daarentegen is voorstander van het voorzorgsprincipe en trekt een duidelijke lijn: zonder volledige controle over de gegevens is gebruik niet toegestaan. Dit creëert een contrast tussen Europees pragmatisme en Zwitserse consistentie.
Hoe reageren de Duitse autoriteiten op deze ontwikkeling?
Veel Duitse staatsorganisaties voor gegevensbescherming houden het Zwitserse besluit nauwlettend in de gaten. Sommigen hebben zelf al kritiek geuit op Microsoft 365 - bijvoorbeeld op scholen, waar trackingmechanismen en onduidelijke gegevensstromen zijn bekritiseerd. Het Zwitserse besluit kan dienen als een argumentatiebooster: Als een land met hoge standaarden het gebruik beperkt, wordt het moeilijker voor Duitse autoriteiten om een liberaler standpunt in te nemen zonder dat goed te kunnen rechtvaardigen.
Waarom speelt transparantie zo'n belangrijke rol voor onderaannemers?
Grote cloudproviders maken gebruik van wereldwijde netwerken van partners en onderaannemers voor ondersteuning, onderhoud en technische diensten. Het is voor een overheidsinstantie bijna onmogelijk om te begrijpen welke bedrijven wanneer toegang hebben. Juist dit gebrek aan transparantie maakt het onmogelijk om risico's goed in te schatten. Zwitserland ziet dit als een fundamenteel probleem: een overheidsinstantie moet weten wie toegang kan krijgen tot haar gegevens - en dit is vrijwel onmogelijk in complexe cloudstructuren.
Hoe beïnvloedt de beslissing het debat over digitale soevereiniteit in Europa?
De Zwitserse houding werkt als een katalysator. Veel EU-landen praten al jaren over digitale soevereiniteit, maar vertrouwen vaak op dezelfde wereldwijde providers. Zwitserland laat nu zien dat een staat ook consequent anders kan handelen. Dit besluit zal het Europese debat nieuw leven inblazen - vooral op het gebied van justitie, overheid en gezondheidsgegevens, waar een strikte lijn bijzonder verstandig zou kunnen lijken.
Wat kunnen bedrijven leren van deze ontwikkeling?
Bedrijven moeten zich realiseren dat het uitbesteden van gegevens altijd een verlies van controle betekent. Het Zwitserse besluit herinnert eraan dat het belangrijk is om zorgvuldig te onderzoeken welke gegevens waar naartoe worden overgebracht. Bedrijven moeten overwegen of sommige kritieke gebieden niet beter lokaal of in soevereine infrastructuren kunnen worden ondergebracht - zelfs als de cloud op het eerste gezicht handiger lijkt.
Is het Zwitserse besluit een stap terug naar het verleden?
Nee - het is eerder een terugkeer naar fundamentele principes die soms verloren gaan in de digitalisering: Verantwoordelijkheid, controle, traceerbaarheid. Zwitserland gebruikt moderne technologieën, maar accepteert niet dat het daarbij de soevereiniteit over zijn meest gevoelige gegevens verliest. Deze houding lijkt ouderwets, maar is in feite toekomstgericht.
Welke alternatieven hebben overheden of bedrijven als ze clouddiensten willen vermijden?
Er zijn verschillende opties: lokale servers, Zwitserse of Europese providers met strenge gegevenssoevereiniteit, hybride modellen met eigen encryptie of een volledig eigen infrastructuur. Deze opties zijn niet zo handig als klikken op „Abonneren op Microsoft 365“, maar ze versterken de controle - en zijn volledig toereikend voor veel gevoelige toepassingen.
Welke rol speelt uw eigen HostEurope-incident in deze context?
Het incident is een typisch voorbeeld van hoe snel je verstrikt kunt raken in structuren die je niet wilde. Als een provider je e-mails wil migreren naar Microsoft 365 zonder je te raadplegen, verlies je tegelijkertijd een deel van je soevereiniteit - en helemaal ongevraagd. Je beslissing om je meteen terug te trekken was uiteindelijk een stap in dezelfde richting die Zwitserland nu officieel heeft genomen: Controle in plaats van gemak. Juist daarom is dit verhaal een goed voorbeeld van de praktische relevantie van het Zwitserse standpunt.
Wat betekent dit alles voor particulieren die niet in de publieke sector werken?
Particulieren zouden zich ook meer bewust moeten zijn van waar hun gegevens worden opgeslagen. Veel mensen maken tegenwoordig automatisch gebruik van internationale platforms zonder na te denken over hoe ver deze bedrijven in hun digitale leven kunnen kijken. Het Zwitserse besluit herinnert je eraan dat je je eigen gegevens niet zomaar als een bijzaak moet beschouwen - want veiligheid begint altijd met de persoonlijke beslissing wie je vertrouwt.
Hoe zou de situatie zich de komende jaren kunnen ontwikkelen?
Het is goed mogelijk dat Zwitserland met deze resolutie een trend zet die later in de EU zal worden overgenomen. De discussie over soevereiniteit wordt sterker, niet zwakker. Staten en bedrijven zullen zich steeds meer realiseren dat de cloud geen natuurwet is, maar een keuze. En zoals elke keuze kan deze worden heroverwogen - vooral als de risico's op een gegeven moment groter lijken dan het gemak.

Huidige artikelen over kunst & cultuur

Waarom Dieter Bohlen spreekt als anderen zwijgen: Een portret van ijver en duidelijkheid

-

2 december 2025

Vicco von Bülow alias Loriot - orde, vorm en het stille verzet van humor

-

26 december 2025

Groenland in het vizier: VS en Trump

Groenland, Trump en de kwestie van erbij horen: geschiedenis, recht en realiteit

-

9 januari 2026

Krim-Tartaarse steppe

De Krim-Tataren - geschiedenis, oorsprong en heden van een vergeten volk

-

25 december 2025

Plaats een reactie Reactie annuleren

In 1989 stond Jan-Josef Liefers op het Alexanderplatz en hield een toespraak - als jonge acteur, niet als ster. Nu, decennia later, kun je er een lijn in herkennen: vrijheid, verantwoordelijkheid en de moed om voor je eigen standpunt uit te komen. Dit portret combineert biografie, kunst en hedendaagse geschiedenis en laat zien waarom consistentie belangrijker is dan vriendjespolitiek. Een waardevolle bijdrage over karakter in turbulente tijden. #DDR #Alexanderplatz #Chedendaagse geschiedenis #JanJosefLiefers #Cultuur #Freedom of expression

19.01.2026 - @MarkusSchall

Veel bedrijven investeren elk jaar grote budgetten in reclame en sociale media - en uiteindelijk zijn ze er geen eigenaar van. Bereik wordt gehuurd, niet bezeten. Stop de betaling, stop het bereik. Een toegewijd bedrijfsmagazine keert dit principe om: Content blijft, groeit en is onafhankelijk van platforms en algoritmes. Ik heb in dit artikel samengevat waarom dit vandaag belangrijker is dan ooit tevoren. 1TP24Bereik 1TP24Bedrijfsstrategie 1TP24ContentMarketing 1TP24Onafhankelijkheid #Marketing

19.01.2026 - @MarkusSchall

Hybride voertuigen zijn geen halve oplossingen, maar pragmatische bruggen. Ze besparen brandstof, verhogen het rijcomfort en verminderen de afhankelijkheid - als ze op de juiste manier worden gebruikt. Drie liter minder brandstofverbruik in het dagelijks leven is realistisch, zonder iets op te offeren. Elektromobiliteit begint niet met verboden, maar met passende oplossingen. Een overzicht van elektrische mobiliteit, van scooters tot e-scooters en van hybrides tot elektrische auto's. #Hybride #PlugInHybrid #Electromobiliteit #Auto #Praxis #Eelektrischeauto

18.01.2026 - @MarkusSchall

Met de zogenaamde 28e regeling plant de EU een nieuwe, vrijwillige vennootschapsvorm naast de 27 nationale rechtsstelsels. Het doel: minder bureaucratie, snellere start-ups, meer concurrentievermogen. Critici waarschuwen echter voor parallelle wetgeving, een machtsverschuiving naar Brussel en langetermijngevolgen voor nationale normen. Een kwestie die technocratisch lijkt - maar politiek explosief is. #EU #28Regime #Interne markt #EEconomie #Europa #CVennootschapsrecht

18.01.2026 - @MarkusSchall

Wil je in 2025 je eigen #KI studio opzetten? 💡 In mijn nieuwe artikel laat ik je zien welke hardware echt de moeite waard is - van de Mac Studio tot de RTX 3090. Geen cloud lock-in, geen abonnementskosten, maar echte datasoevereiniteit, snelheid & controle over je eigen AI-workflows. 🔧🧠Leer hoe je lokaal kunt werken zonder permanent te betalen voor cloud tokens - en welke GPU's en systemen vandaag de dag het meest zinvol zijn. #AI #LocalAI #Hardware #MacStudio #RTX3090

17.01.2026 - @MarkusSchall

Privacy-overzicht

Deze website maakt gebruik van cookies om uw ervaring tijdens het navigeren door de website te verbeteren. Hiervan worden de als noodzakelijk gecategoriseerde cookies in uw browser opgeslagen, omdat ze essentieel zijn voor het functioneren van de basisfuncties van de website. We gebruiken ook cookies van derden die ons helpen te analyseren en te begrijpen hoe u deze website gebruikt. Deze cookies worden alleen met uw toestemming in uw browser opgeslagen. U hebt ook de mogelijkheid om deze cookies uit te schakelen. Maar het uitschakelen van sommige van deze cookies kan uw surfervaring beïnvloeden.

Noodzakelijk

Altijd ingeschakeld

Noodzakelijke cookies zijn absoluut noodzakelijk voor het goed functioneren van de website. Deze cookies zorgen anoniem voor basisfunctionaliteiten en beveiligingsfuncties van de website.

Cookie	Duur	Beschrijving
cookielawinfo-checkbox-analytics	11 maanden	Deze cookie wordt ingesteld door de GDPR Cookie Consent plugin. De cookie wordt gebruikt om de toestemming van de gebruiker voor de cookies in de categorie "Analytics" op te slaan.
cookielawinfo-checkbox-functioneel	11 maanden	De cookie wordt ingesteld door GDPR cookie consent om de toestemming van de gebruiker voor de cookies in de categorie "Functioneel" vast te leggen.
cookielawinfo-checkbox-nodig	11 maanden	Deze cookie wordt ingesteld door GDPR Cookie Consent plugin. De cookie wordt gebruikt om de toestemming van de gebruiker voor de cookies in de categorie "Noodzakelijk" op te slaan.
cookielawinfo-checkbox-andere	11 maanden	Deze cookie wordt ingesteld door GDPR Cookie Consent plugin. De cookie wordt gebruikt om de toestemming van de gebruiker voor de cookies in de categorie "Overig" op te slaan.
cookielawinfo-checkbox-prestatie	11 maanden	Deze cookie wordt ingesteld door GDPR Cookie Consent plugin. De cookie wordt gebruikt om de toestemming van de gebruiker op te slaan voor de cookies in de categorie "Prestaties".
bekeken_cookie_beleid	11 maanden	De cookie wordt ingesteld door de GDPR Cookie Consent plugin en wordt gebruikt om op te slaan of de gebruiker al dan niet heeft ingestemd met het gebruik van cookies. Er worden geen persoonlijke gegevens opgeslagen.

Anderen

↑