AWS brengt nieuw bedrijfsonderdeel volledig in EU onder vanwege 'soevereiniteit'

Amazon gaat een aantal bedrijfsonderdelen en processen rond AWS volledig in Europa onderbrengen. Zo komt het beheer van Amazon Web Services voor Europa in Duitsland te zitten. Dat gaat zowel de infrastructuur beheren als rootcertificaten uitgeven.

Amazon noemt de plannen onderdeel van 'een Europese soevereine cloud', maar in feite gaat het vooral om het verplaatsen van bedrijfsstructuren voor specifiek de Europese regio waar AWS wordt gebruikt. De zogeheten AWS European Sovereign Cloud bestaat uit een nieuw moederbedrijf en drie dochterbedrijven die alle vier in Duitsland worden opgericht. "Deze dochterondernemingen gaan beheersopties doorvoeren waarmee content en metadata van klanten binnen de Europese Unie blijft", schrijft Amazon. Verder nemen de bedrijven Europees personeel aan om de infrastructuur te beheren en komt het beheer van rootcertificaten en trust services bij dit bedrijfsonderdeel te liggen.

Amazon zegt dat het nieuwe bedrijfsonderdeel enkele technische maatregelen gaat nemen waarmee alle data Europees blijft. Zo komt er een aparte DNS-resolver via AWS' eigen Route53. Die gebruikt alleen Europese top-level-domains. Er komt ook een aparte, Europese rootcertificaatautoriteit. Amazon gaat ook een Europees security operations center opzetten dat alleen bezig is met Europese datacenters.

De nieuwe bedrijfsstructuur krijgt ook een Raad van Bestuur, zegt Amazon. Die moet onafhankelijk zijn, al zegt het bedrijf niet op welke manier dat wordt vastgelegd. De raad bestaat uit vier leden die allemaal uit de Europese Unie komen. Volgens Amazon zal 'in ieder geval een raadslid geen banden hebben met Amazon'. De nieuwe bedrijfsstructuur moet eind 2025 volledig operationeel zijn.

Amazon probeert met de nieuwe bedrijfsstructuur in te spelen op de zorgen van veel Europese landen, waaronder Nederland, over de onafhankelijkheid van Amerikaanse techdiensten. Sinds het aantreden van president Trump in de VS krijgen steeds meer overheden gewetensbezwaar vanwege hun afhankelijkheid van feitelijk drie Amerikaanse cloudproviders. Naast AWS, de grootste cloudprovider, zijn dat Microsofts Azure en Google Cloud. In Nederland kwam die discussie onder andere vorig jaar op toen de beheerder van het .nl-domein vorig jaar besloot een deel van zijn infrastructuur naar AWS te verplaatsen, iets waar de Tweede Kamer tegen is. Nu er steeds meer momentum komt om Europese alternatieve clouddiensten te zoeken, komen ook steeds meer overheden erachter dat dat makkelijker gezegd is dan gedaan. Amazon hoopt discussies voor te zijn en met deze nieuwe cloudopzet te laten zien dat het ook mogelijk is data in Europa op te slaan, maar dan wel op servers van Amazon zelf.

Door Tijs Hofmans

Nieuwscoördinator

04-06-2025 • 08:36

180

Submitter: Jeoh

Reacties (180)

180
173
89
10
0
79
Wijzig sortering
Bedrijfsonderdeel, valt dus onder Amazon, valt dus onder Cloud Act. Echter voor managers is het zo voldoende "afgedekt" om toch weer voor de Amerikaanse cloud te kiezen. Ik verwacht weinig argwaan of heroverweging, na te hebben gezien hoe makkelijk men "privacy shield" accepteerde in de vergaderkamers.
Bedrijfsonderdeel, valt dus onder Amazon,
Waarom lees je het nieuwsbericht niet nog een keer? Het is duidelijk dat deze constructie zo is gemaakt om het GEEN bedrijfsonderdeel te laten zijn, en de Cloud Act hier dus niet van toepassing is. Staat er echt allemaal in.
Omdat het niet zo is. Zolang de nieuwe entiteit eigendom is van een Amerikaanse entiteit of een organisatie met een Amerikaanse entiteit, valt deze onder de cloud act. Ook een Nederlands bedrijf met een vestiging in de US valt onder de Cloud Act trouwens, het gaat dus best ver allemaal.

Overigens is de cloud act zelf misschien helemaal niet zo relevant in deze:Deze heeft vooral betrekking op het opvragen van data door de US overheid. Echter we zien nu bij het ICC dat de dienstverlening wordt bedreigd door sancties, wat niets met de cloud act van doen heeft. Dit laat de afhankelijkheid zien die we hebben en dus het risico wat organisaties lopen. Zolang een US enititeit eigenaar is, zal men de organisatie dus onder druk kunnen zetten om te voldoen aan de sanctie en is de dienstverlening dus onzeker.

Maar goed, hyperscalers doen er alles aan om hun business te beschermen vandaar dat Microsoft de EU Data Boundary heeft opgezet en AWS nu deze actie onderneemt. Het gaat echter niet echt het probleem oplossen. Organisaties zullen dus, afhankelijk van hun risico profiel, een plan B moeten hebben voor als de dienstverlening opeens stopt.....
Je mag je toch afvragen waar deze reacties en veelal onderbuikgevoelens vandaan komen. Het is niet voor niets dat Amazon deze constructie bedenkt. Wij Europeanen slaan veel privacy gevoelige data op bij Amerikaanse partijen, zij het persoonlijke data, medische, onderzoek, we parkeren alles bij hun met de hoop dat het goed zit. Dat de VS er toch niet stiekem in gaat loeren.

Tegelijkertijd heeft de VS regelgeving dat zeer vergaand is, we hebben het hier over de Patriots Act maar zo kent de VS ook geheime rechtbanken die globaal werken en zo hebben we nu ook een president die er geen geheim van maakt dat wetten en regeltjes voor hem niet bestaan en oude bondgenoten als de vijand aftekent.

Nogmaals deze constructie komt niet uit het niks, maar geeft dit daadwerkelijk vertrouwen in Amazon cq de VS of wormen die zichzelf alsnog in deze entiteit? Of nog platter, wat belet deze entiteit om niet een offshore kopie te maken bij Amazon zelf als backup?

Ik net zoals veel tweakers heb weinig vertrouwen in de VS, ik hoop dat onze vertegenwoordigers er net zo over nadenken, helaas is dit niet zo. Zij stellen relaties waar wij bij worden misbruikt boven onze eigen souvereiniteit.

[Reactie gewijzigd door n4m3l355 op 4 juni 2025 12:12]

Waar dit wel toe leidt is dat er een complete Europese infrastructuur staat, los van die in de VS. Amazon is de eigenaar, maar indien die zich niet aan de Europese wetgeving houdt (inclusief dus een verbod op het ingaan op opdrachten op basis van de Cloud Act), kan in het uiterste geval de EU besluiten het geheel to onteigenen, en het verder op eigen kracht laten doordraaien.

(Wat daar nog wel voor nodig is, is dat hier dan ook de benodigde broncode van systemen beschikbaar is, en engineers die daar voldoende van kennen om daar nodige aanpassingen in te maken -- ook dat moeten we dus nog van Amazon vereisen, bij voorkeur in depot bij een onafhankelijke partij.)
Bedrijven onteigenen met als thuisbasis de grootste kernmacht ter wereld? In theorie leuk, maar de VS accepteert dat natuurlijk nooit. En als de VS het niet accepteert gaat het ook niet gebeuren.
Denk je nou echt dat Amerika een kernbom op de EU gaat gooien als ze de Europese operations van Amazon of Microsoft of Google inlijven? 8)7
Zolang de VS kunnen reageren op zo'n onteigening met het afsluiten van wat Azure/Office subscriptions (indirect via sancties), hoeft er ook helemaal niet gedacht te worden aan kernbommen e.d.
Oh, dat zeker. Ik vermoed dat vanwege wat het bij het ICC is gebeurd (wat overigens een misverstand was) dat men bij de EU een stuk meer op open source over zal gaan. Vooral bij kritieke elementen als de krijgsmacht.

In Frankrijk is het bijvoorbeeld al zo dat bepaalde delen van de krijgsmacht LibreOffice en Matrix gebruiken. En het fijne is: hoe meer commerciële gebruikers open source heeft, hoe meer geld er via bv support contracten binnenstroomt wat weer naar ontwikkeling gaat en de kwaliteit opkrikt waardoor nog meer mensen het gaan gebruiken.

Matrix mag nog wel wat simpeler, maar bijvoorbeeld LibreOffice met de ribbon interface is prima te begrijpen voor een leek.

De twee grootste struikelblokken die er op het moment zijn zijn Europese clouds die geen drop-in compatibility met AWS of Azure APIs hebben, en het gebrek aan een alternatief voor Active Directory.
Dit dus. Doet me een beetje denken aan VPNs die claimen buiten "5 eyes" of "9 eyes" te opereren door hun bedrijf in Switzerland ofzo te registreren en daardoor meer privacy zouden bieden. Onderhand hebben ze wel 80% van hun servers in VS+VK+NL staan 8)7
Klopt. Maar mensen die hier gebruik van blijven maken schaar ik dan ook onder "enorme sukkels". Het is nergens, maar dan ook nergens voor nodig om dit Amerikaanse troep te blijven gebruiken met alle risico's van dien.

Bedrijven die dat nu nog niet doorhebben en in de (nabije) toekomst hierdoor getroffen worden: "eigen schuld dikke bult". Dit zien "we" (mensen die wat realistischer kijken naar de wereld) al vele jaren aankomen als het grote probleem.
Met de huidige regerering is alles mogelijk ;). Maar ik begrijp zijn punt, hij zet het alleen wat apart aan. Amerika zal daar voor gaan liggen en in het verleden heeft europa wel vaker getoond daar niet voldoende ruggegraat te hebben.

Puntje bij paaltje, de cloud act gaat heel ver en in mijn beleving is deze Amazon AWS move vooral voor de buhne.
Met de huidige regering is in principe heel erg weinig mogelijk. Demissionair en dus alleen bestaande zaken mogen afgehandeld worden, tenzij controversieel.

Anyway. Ik zie het als een pluspunt, want onder Rutte wist je in ieder geval zeker welke (verkeerde) kant het opging. Dat het alle kanten op kan gaan zie ik als een positief lichtpuntje, in die zin dat het ook de goede kant op kan gaan.

Maar zoals altijd zullen we als een braaf teefje achter onder grote roedelleider Duitsland/EU huppelen. Hijgend en kwispelend. Dus in feite weinig verschil, de handtekening komt toch wel bij het kruisje.
Een kernmacht hoeft niet letterlijk een kernbom te gooien. Het feit dat de VS de mogelijkheid heeft is al voldoende dreiging dat Europa nooit Amerikaanse (groot)bedrijven zal onteigenen.
Net als met Rusland is dit angst om niks. Er gaan geen kernwapens gebruikt worden, al helemaal niet inzake handel / onteigening.
Er gaan ook geen kernwapens gebruikt worden, dat heeft helemaal niemand gezegd. Maar het feit dat die mogelijkheid er überhaupt is, is genoeg om er voor te zorgen dat het nooit zal gebeuren dat de EU Amerikaanse bedrijven gaat onteigenen. Hoe zie je dat voor je? Als heel AWS Europa wordt onteigend en ingelijfd, dat Washington dan zegt is prima joh! Dat heeft overigens niets met Trump te maken, ook onder afgelopen en komende presidenten, republikein of democraat, is dat een volstrekt onhaalbare kaart.
Wat jij zegt betekend in feite dat:

1) Mocht de VS een Europees bedrijf onteigenen, zullen we dat accepteren.
2) De VS wenst zich niet aan de wetten van ander landen te houden.

In beide gevallen des te meer reden om alles uit de VS per direct te verbieden.

Het is erg jammer dat mensen op deze manier denken.
Nee maar ik denk wel echt dat ze dan de amerikaanse operations van een hoop europese bedrijven gaan inlijven als straf.
De VS kan niet accepteren wat ze willen. De status (soft power) die de US eens had is in de eerste 100 dagen Trump vrijwel verdwenen. Europa kiest veel meer de eigen weg en is van de toplanden/unies die met tarieven te maken krijgen (Canada, Mexico, China, UK etc.), degene die zich het meest verzet en zich het minste van de US aantrekt.

Risico blijft natuurlijk dat de US druk uitoefent op Amazon USA. En itt bijvoorbeeld Apple, zijn bedrijven zoals Meta, Google en Amazon tot nu toe redelijk meegaand met de eisen van Trump. Hiervoor wordt met name DEI gebruikt als pressie middel, omdat er geen heffingen (tarrifs) op diensten worden gevoerd. Waarom dat zo is, kun je zelf wel invullen.
Tuurlijk kan de EU haar eigen koers kiezen, en alternatieven gebruiken in plaats van AWS. Maar dat is heel wat anders dan het onteigenen van de hele Europese tak van AWS. Dat laatste gaat echt niet gebeuren.
Ik zou niet weten waarom niet. Maar anders vleugellam maken door belasting te gaan heffen op de omzet die ze hier (per land) behalen. Dus niet de winst, die ze toch manipuleren.

Overigens zou dit met alle bedrijven moeten gebeuren is mijn mening. Het is te gek voor woorden dat bedrijven niet fatsoenlijk belasting betalen in de landen waar ze opereren.
Die soft power was al verdwenen, alleen wordt dat nu pas echt duidelijk.

We kunnen prima zonder al die bedrijven. Ja, het zal even wennen zijn en omschakelen, maar geen probleem. Dat is iets wat Trump, zijn administratie vol met volgzame idioten en de meeste burgers niet willen snappen. Vooral door deze eerste 100+ dagen is iedereen zich aan het afkeren van de VS. Ze gaan het vanzelf voelen.

Daarnaast, ze hebben hun eigen binnelandse problemen (nazi style razzia's) waar burgers zich beter om kunnen bekommeren.
Inderdaad, zo vele die theorie en de praktijk weer door elkaar halen. Die dromen van hard aanpakken gaat nooit gebeuren als je dat niet kan handhaven met geweld.
Onteigenen is natuurlijk heel rigoreus, maar al die diensten (laten) overnemen door Europese bedrijven/EU of door EU-bedrijven met een EU-lening is natuurlijk veel vriendelijker. Het grote voordeel van een vriendelijke overname is dat op de eerste plaats je steun kunt verwachten van de originele eigenaren, op de tweede plaats hoef je het wiel niet opnieuw uit te vinden en op de derde plaats weet je wat de kosten zullen zijn. Deze laatste in vergelijking tot het zelf alles opnieuw op willen zetten.
En zo is het precies. Cloud act is irrelevant. De dienstverlening kan worden gestopt door sancties. Wij moeten ons helemaal losmaken van Amerikaanse en Chinese software. Dat kunnen wij makkelijk. Een kwestie van willen. Voorlopig zijn wij afhankelijk van Hollandse bedrijven die er vuistdik in zitten en dus grote belangen hebben en elk alternatief de grond in boren met nepinformatie. Wij moeten dus stoppen met deze bedrijven en gaan voor de echte lokalen waar de overheid zelf de regie heeft.
Omdat het niet zo is. Zolang de nieuwe entiteit eigendom is van een Amerikaanse entiteit of een organisatie met een Amerikaanse entiteit, valt deze onder de cloud act. Ook een Nederlands bedrijf met een vestiging in de US valt onder de Cloud Act trouwens, het gaat dus best ver allemaal.
Inderdaad , eigendom. Als Amazon dit goed had willen doen dan hadden ze het onder een trust moeten doen en dan is het Amerikaanse bedrijf geen eigenaar/aandeelhouder meer maar beneficiary en anderen trustees. Maar dat gaat heel erg ver en dan ben je geen eigenaar meer wat je in de trust stopt maar kan je economische wel van genieten (dus winst, hangt er van af welke afspraken je met de trust hebt en de oprichtingsakte en dergelijke).

Maar dat zou Amazon nooit doen want dan verliezen ze ook de controle. Een trust beheert het dan en is dan wettelijk de eigenaar/aandeelhouder. Net zoals een stichting administratiekantoor, die constructie hadden ze ook kunnen kiezen, maarja dan verliezen ze de controle ook want die stichting is dan de eigenaar/aandeelhouder.

De zogenaamde oplossing die Amazon hier naar voren speelt is geen oplossing, maar enkel een paar lagen ertussen.

[Reactie gewijzigd door Remzi1993 op 5 juni 2025 02:26]

Nee, wat jij aangeeft is dus niet zo. Dit nieuwe bedrijf valt niet onder de cloud act, want het is geen amerikaans bedrijf, dit bedrijf is geen eigendom van amazon, het gaat hier om een compleet nieuw MOEDERBEDRIJF.
De servers en alle data staat dus ook gewoon in de EU. Enige wat de amerikaanse overheid kan opvragen is data die op de server staat van een amerikaanse burger of van een amerikaans bedrijf, maar ook dan zal daar gewoon een gerechtelijk bevel voor moeten worden afgegeven en zal dit nieuwe EU bedrijf dus zelf moeten beoordelen of ze wel of niet willen meewerken.
Dus GDPR telt ook niet in de VS? De Cloud Act is een antwoord op GDPR, mutually assured data mining.
Het wordt benoemd als bedrijfsonderdeel van Amazon. Dat moederbedrijf is dus eigendom (in meerderheid) van Amazon. Daarmee valt het onder de cloud act en kan de US Amazon dwingen om uitvoer te geven aan sancties. (Moederbedrijf geeft alleen aan dat er iets onder hangt, niet dat deze zelf niet onder iets hangt.)
Nee dus, want deze hele constructie is zo dus opgezet zodat dit bedrijf buiten schot van de cloud-act blijft.
Dat moederbedrijf in de EU is weer eigendom van Amazon in de VS. Zo moeilijk is dat niet om te begrijpen.
Als dit een moeder(bedrijf) is, dan zit oma nog steeds in haar schommelstoel op haar Amerikaanse veranda. We zullen toch echt met iets beters moeten komen om van die cloud act af te komen.
Inderdaad! Geheel mee eens! Vandaar dat ik niet snap dat er iets gaat veranderen met deze opzet. Paar extra lagen meer niet.
Maar deze constructie is dis zo dat fie nieuwe bedrijf buiten schot van de VS blijft.
Amazon uit de VS is nog steeds eigenaar/aandeelhouder.
Geruchtenmolen? De Amerikanen zeggen dat ze sancties instellen omdat er onderzoek wordt gedaan naar Netanyahu. Dit gaat niet om 1 persoon.

Eerder deden ze dit al omdat het ICC onderzoek deed naar Amerikaanse soldaten.

Als je duidelijk gecommuniceerde handelingen al in twijfel begint te trekken zou ik heel goed kijken naar je informatie bronnen. Ik vermoed dat jouw twijfel komt door een extreem rechts internet vlogje.
De ICC kan je berechten als het land waar het misdrijf is gepleegd of waar de dader vandaan komt, aangesloten is bij het Hof, of als de nationale staten niet in staat of bereid zijn om de zaak te onderzoeken of te behandelen.
In het geval van Netanyahu was Israel dus niet bereid bevonden om de zaak te onderzoeken of behandelen. Op basis daarvan is de ICC dus wel gemachtigd om een arrestatie bevel te geven. Ze kunnen die arrestatiebevel alleen niet uitvoeren net als ze dat in Rusland bijvoorbeeld niet zouden kunnen doen.

Je aanname klopt dus niet dat een land aangesloten moet zijn. Je moet gewoon een persoon zijn op deze aardbodem. Het ICC werkt aan een veiligere en rechtvaardigere wereld . Dus als er genocide, misdaden tegen de menselijkheid en oorlogsmisdrijven in het heelal plaatsvinden kun je theoretisch weer niet terecht bij het ICC.
Het ICC kan wel degelijk een arrestatiebevel uitvaardigen voor personen zonder nationaliteit van een land wat lid is van het ICC. Dit kan wanneer de misdaden zijn gepleegd in een land wat wel lid is van het ICC, of wanneer de VN Veiligheidsraad een zaak doorverwijst naar het ICC.

En Palestina is lid van het ICC.
As of March 2025, the State of Palestine is recognized as a sovereign state by 147 of the 193 member states of the United Nations, or just over 75% of all UN members.[1][2][3] It has been a non-member observer state of the United Nations General Assembly since November 2012.[4][5] This limited status is largely due to the fact that the United States, a permanent member of the UN Security Council with veto power, has consistently used its veto or threatened to do so to block Palestine's full UN membership.[6][7]
Bron
Nederland, de EU noch de noodzakelijke leden van de Veiligheidsraad erkennen Palestina omdat Palestina zoals getekend in die 'erkenningen' binnen de grenzen van Israel ligt.

Dat er een paar landen zijn die een brief tekenen dat zegt "indien iedereen akkoord gaat, gaan wij ook akkoord", tja, wilt niet zeggen dat het officieel aanvaard is en dat zal het ook nooit worden.

[Reactie gewijzigd door Guru Evi op 4 juni 2025 21:26]

Palestina is sinds 29 november 2012 erkend als niet-lid waarnemerstaat (VN-resolutie 67/19) en kon daarmee toetreden tot het verdrag van Rome. Dat de VS vetorecht hebben in de VN-Veiligheidsraad heeft hier geen invloed op want de Veiligheidsraad gaat hier niet over. Vanaf 2 januari 2015 is Palestina ook daadwerkelijk toegetreden tot het verdrag van Rome en daarmee heeft het ICC de mogelijkheid om onderzoek te doen naar oorlogsmisdaden en misdaden tegen de menselijkheid in Palestina (ongeacht wie ze gepleegd heeft).
Ik snap wel dat de overheden toegang willen krijgen tot data wanneer dat nodig is. Nationale veiligheid en zo. Alleen geeft CLOUD Act wel heel veel ruimte voor de Amerikaanse overheid, zeker wanneer het over buitenlandse data gaat; die wordt niet (goed) beschermd door de wetgeving.
Door de boel echt onder te brengen in de EU kunnen ze nog steeds de nodige wetgeving implementeren, maar ook de spelregels (zoals de rechtbank) handhaven.
Dat opsporingsdiensten bij data moeten kunnen is evident. De discussie is alleen of dat gebeurt met tussenkomst van de rechter of niet. De Amerikaanse wet stelt dat de overheid direct bij de onderneming kan aankloppen en dat de gevraagde data vervolgens moet worden afgegeven. Regels in de EU schrijven voor dat een rechter zich hier eerst over moet buigen voordat een bedrijf verzocht / gedwongen kan worden om data af te staan.

Het zal mij benieuwen of AWS in deze constructie daadwerkelijk de EU-weg gaat bewandelen of dat de Amerkaanse overheid zoals van ouds nog steeds direct toegang heeft, legaal dan wel illegaal? Mijn persoonlijke vermoeden is overigens het laatste.
Ik hoop dus dat het nu niet alleen volgens de Amerikaanse, maar ook volgens de EU regeltjes gaat. Dat is op zich prima. Maar ja, ik moet het inderdaad nog zien wat AWS-EU doet als Homeland Security via Amazon.com, Inc. op de stoep staat.
Op wiens stoep bedoel je dan? HS kan niet met een stel dikke geweren in Duitsland gaan rondlopen. Dus dat moet in Seattle zijn. Maar dat zal weinig indruk maken bij de Europese vestiging. Wat gaan ze doen vanuit Amerika? Boos kijken via Zoom?

Ik heb het even niet over geforceerde technische toegang door engineers vanuit Amerika. Het gaat om het bedrijfsmatige: waarom komt AWS-EU in beweging omdat er buiten de EU iemand zegt dat ze moeten bewegen? Wat gebeurt er concreet als ze dan lekker blijven zitten?
Bedrijfsmatig vallen ze binnen het concern Amazon.com Inc. Ik vraag me af wat er inderdaad daadwerkelijk daar gebeurt op directieniveau wanneer Jeff boos (via Zoom) naar het opperhoofd bij AWS-EU kijkt. Dan wel typisch Amerikaans met een stelletje hoge piefen op de achtergrond.
Ik denk dat dit AWS-EU verhaal onder aan de streep goed nieuws is voor de normale gebruikers en brave EU overheden die zich zorgen maken over CLOUD Act. De EU wet- en regelgeving kan niet zomaar aan de kant geschoven worden. Maar we weten een beetje hoe de Amerikanen denken over zaken als nationale veiligheid. Ze zijn in staat zeer rekbaar met de regeltjes om te gaan... Of denk aan 'Hague Invasion Act' (American Service-Members' Protection Act) wat ze in staat stelt een NAVO bondgenoot binnen te vallen om Amerikaanse belangen te verdedigen. Dat gaat dan niet over data, maar sinds 11 september valt de economische stabiliteit ook onder de nationale veiligheid. Dat is nogal een breed begrip.
Het is allemaal nogal rekbaar. Jij stelt dat het weinig indruk zou maken bij AWS-EU, maar ik ben bang dat ze de benen uit hun gat zullen rennen om te voldoen aan de vraag vanuit de VS zodra men daar de 'nationale veiligheid kaart' speelt.
Dat laatste raakt de kern: waaróm gaat men hard rennen als Bezos dat zegt? Ik weet dat het bij Amazon bedrijfscultuur is (de forwards van Bezos met enkel "?" erin zijn berucht), maar deze organisatie wordt specifiek opgetuigd om het marktsegment "wil soevereinie Europese dienstverlener" te bedienen. Als je dan na vijf minuten toch al gewoon Amerikaans bedrijfje speelt, dan ondermijn je toch het punt van je hele divisie?

Ik geloof best dat de Amerikanen het breed willen spelen. En als het politiek/militair wordt, dan houdt de rol van het recht wel een beetje op. Maar ik zie dit als een juridische constructie, om bij 'gewone' bevelen van uit de VS te weten waar je aan toe bent. Een bevel in de mail is wat anders dan een Apache-helikopter boven de fietsenstalling, zeg maar.
Klopt, en ik hoop dat we het niet meemaken, maar ik ben zeer benieuwd hoe lang het standhoudt wanneer echt de pleuris uitbreekt.
Soms is boos kijken al voldoende om (juridische) regeltjes buiten spel te zetten.

En ik bedoel niet letterlijk boos kijken, maar de Amerikaanse overheid kan het Amazon best weleens moeilijk maken als ze niet gehoorzamen.
Nou ja, kijk naar PRISM. Als we iets hebben mogen leren van het verleden dan is het dat overheidsinstanties zoals de NSA (maar ook de AIVD) 'rekbaar' met de regels omgaan en de techbedrijven maar al te graag meewerken. Het tegensputteren van Amazon zal niets meer dan een formaliteit zijn.
Als de clouddiensten in Europese handen zijn, dan kunnen we in ieder geval de Amerikanen buiten de deur houden, de AIVD is een heel ander geval. Die kunnen we alleen achteraf buiten de deur houden. :(
Ware het niet dat de Europese inlichtingendiensten er niet vies van zijn om met de NSA onder één hoedje te spelen: https://nos.nl/artikel/20...derlandse-kabels-afgetapt en de NSA weet wel raad met de EU: https://www.nu.nl/interne...raktijken-van-de-nsa.html

Kortom: De NSA houden we niet buiten de deur, ongeacht verdragen en verklaringen.
Als aandeelhouder of eigenaar van een bedrijf kan je bestuursleden ontslaan en benoemen en dus zo druk opleggen om iets te doen of niet te doen.
Dat valt enorm op en kost klauwen met geld, want op dat niveau heb je geen mensen die "at will" ontslagen wensen te worden.
Dat klopt, maar druk uitoefenen kan dus nog steeds. Alleen een trust of een stichting administratiekantoor zou controle weghalen.
Hoe precies werkt dat dan? De druk zit op de mensen, niet op de bv. Dus er een stak tussen zetten verandert niets.
Als je een trust of STAK tussen zet dan heeft dat bedrijf geen stemrecht bij de AVA (algemene vergadering aandeelhouders) maar de stichting of trust. Iemand geniet zegmaar alleen de economische vruchten maar heeft geen enkel zeggenschap. Je scheid de eigendom en economische vruchten van elkaar. Dit zou je uiteraard al weten als advocaat.
Het punt is dat de directie van Amazon in de VS de mensen in het bestuur van de onderneming gaat chanteren of onder druk zetten zodat het bestuur stemt zoals Amazon US wil. Dat staat dus los van hoe de economische eigendom of formele zeggenschap werkt. Daarom zie ik niet hoe een stak het probleem oplost.

Verder zijn de aandelen van het bedrijf eigendom van de stak (en dan gesplitst). Dus het bestuur van de stak kan alles doen dat voorheen de aandeelhouders deden. Een stak is vooral administratief en fiscaal handig (benoem je kind tot bestuurder en omzeil de belasting op aandelenoverdracht). Dus als Amazon US bestuurder is van de stak van Amazon-EU, dan kan ze nog steeds de directeur van Amazon-EU ontslaan.
Dat staat dus los van hoe de economische eigendom of formele zeggenschap werkt. Daarom zie ik niet hoe een stak het probleem oplost.
Een STAK lost het probleem op als Amazon dus niet in het bestuur van de stichting zit. Amazon US krijgt dan de STAK certificaten en dus alleen de economische vruchten. Het bestuur van de stichting heeft dan de stemrecht bij de AVA. Die bestuur is dan onafhankelijk en hoeft formeel dus niet naar Amazon US te luisteren en kan het gewoon naast zich neerleggen.
Verder zijn de aandelen van het bedrijf eigendom van de stak (en dan gesplitst). Dus het bestuur van de stak kan alles doen dat voorheen de aandeelhouders deden.
Precies, en als het bestuur onafhankelijk is en niet door Amazon wordt benoemd dan heb je dus een waterdichte oplossing.

Een stak is vooral administratief en fiscaal handig (benoem je kind tot bestuurder en omzeil de belasting op aandelenoverdracht).
Een STAK wordt niet alleen administratief en fiscaal gebruikt, een voorbeeld bij familiebedrijven. Vader wilt wel dat zijn kinderen de economische vruchten krijgen (dividend, winst wat dan ook), maar geen enkel stemrecht omdat de kinderen niks van het bedrijf snappen en hebberig korte termijn denken. Dus dan zou zo'n STAK ook uitkomst bieden. Je geeft je kinderen tijdens je leven certificaten of doet dat bij overleiden. De kinderen ontvangen certificaten van de STAK maar geen stemrecht, want dat doet de stichting.
Dus als Amazon US bestuurder is van de stak van Amazon-EU, dan kan ze nog steeds de directeur van Amazon-EU ontslaan.
Dan heb je dus geen onafhankelijke STAK, net zoals een trust waarbij je en beneficiary bent en trustee. Daar heb je dus niks aan en dan scheid je enkel alleen eigendom op papier maar niet zeggenschap.

Dit werkt dus ook niet wanneer je getrouwd bent bijvoorbeeld in de VS, rechters hebben geoordeeld dat als je de trust kan veranderen en je hebt zeggenschap dan kunnen de assets gewoon verdeeld worden. Vandaar dat de eis is dat als je beneficiary bent je iemand anders of een organisatie trustee wilt maken. Dan heb je dus geen controle op en dan kan het niet gedeeld worden bij een scheiding. Dit wordt ook wel irrevocable living trust genoemd.

Om zo'n constructie te laten werken moet je en eigendom en zeggenschap verliezen en krijg je enkel en alleen de economische vruchten. Dan heb je dus een onafhankelijke EU vestiging opgebouwd. Dit zou geen enkel bedrijf doen. Daarom is alles wat Amazon doet symbolisch en geen echte oplossing.

[Reactie gewijzigd door Remzi1993 op 5 juni 2025 17:23]

De reactie van de EU medewerkers en bestuur moet dan gewoon zijn: dat kunnen wij niet, want dan maken wij ons schuldig aan een strafbaar feit. Een vereiste is dan wel dat er geen achterdeurtje in de systemen is waardoor VS medewerkers er zonder EU medewerkers alsnog bij kunnen.

Dit moet je controleren, bijvoorbeeld door een ter zake kundig auditor die vrije toegang krijgt tot de systemen.
Als de VS die data wil, maakt de cloud act of andere wetgeving helemaal niets uit, dan hacken ze die systemen gewoon, ze trekken zich dan totaal niets aan van wetgeving.
En dat is geen Trump gegeven, jaren geleden hebben ze op die manier de Belgische telecom en internet provider Belgacom (nu Proximus) gehacked, om hier de boel te kunnen afluisteren, samen met de Britse geheime dienst, met behulp van NSA spionagesoftware.

Ook in Duitsland en in het Europees parlement hebben ze al gebruik gemaakt van illegale hacking.
Het is dus al veel langer dat de VS totaal onbetrouwbaar is, en er niet voor terugdeinzen om "bevriende"landen te hacken.
Met Trump aan het roer, wordt dit enkel maar wat duidelijker, en worden mensen eindelijk eens wakker.
Daar is feitelijk geen speld tussen te krijgen.
Er zit een verschil tussen cloud en CLOUD act. CLOUD staat namelijk voor "Clarifying Lawful Overseas Use of Data" Act, dus ook al zit je niet in de cloud kan de CLOUD act van toepassing zijn.

Extra punten voor de persoon die deze afkorting heeft uitgevonden. 8-)

bron: Wikipedia: CLOUD Act
Maakt niet uit hoeveel bedrijven ze bedenken maar die valt toch allemaal onder de Cloud Act?
Yariva Moderator internet & netwerken @com2,1ghz4 juni 2025 08:48
Nou nee niet helemaal. In de tekst staat ook duidelijk dat het om een nieuw moederbedrijf gaat.

Zoals ik het heb begrepen tijdens de presentatie op de AWS summit in Amsterdam dit jaar is het daadwerkelijk een nieuw bedrijf wat haar infrastructuur en software inkoopt vanuit AWS. De dienst wordt dan weer volledig EU-only geleverd. Vanuit dat perspectief zou het dan ook volledig ontkoppeld moeten zijn van AWS en de juridische restricties van de US.

Dat heeft voor en nadelen. Diensten zoals Route53 of andere globale AWS diensten zullen waarschijnlijk niet werken gezien je daar de overige regions van AWS voor nodig heb. Maar dat is een trade-off welke een bedrijf kan maken.

Dan blijven risico's zoals achterdeuren in de software natuurlijk nog altijd bestaan. Maar dat is meer een technisch risico en niet een juridische.

[Reactie gewijzigd door Yariva op 4 juni 2025 08:55]

Druist dat niet in tegen de steun die (onder andere) AWS heeft uitgesproken jegens CLOUD Act? Als ze hiermee CLOUD Act omzeilen voor de EU, dan ondermijnen ze ook hun steun aan de Amerikaanse overheidsdiensten. Ik verwacht eerder dat het nog steeds mogelijk blijft om CLOUD Act te handhaven, maar dat het via de EU voorwaarden gaat. Dus echt via een rechtbank en onderbouwd.
Yariva Moderator internet & netwerken @Wouterie4 juni 2025 09:09
Ik ga weer even terug naar de kern van mijn bericht: het zijn 2 verschillende bedrijven. Kortom de entiteit die dit datacenter nu bouwt en de hard/software inkoopt bij AWS globaal mag roepen en zeggen wat ze zelf willen. Daar hebben ze ook de nodige EU topmensen voor aangenomen. En AWS globaal heeft er alle baat bij dat dit zo blijft.

Klanten (voornamelijk overheden) zullen hun data hier enkel in opslaan wanneer er een 100% vertrouwen is. Zodra dit is geschaad zijn de bedrijven en overheden die haar data hier opslaan niet meer compliant en lopen die weg, inclusief de inkomsten hiervan. En daarmee de initiële investering die AWS globaal in deze nieuwe entiteit pompt.

En natuurlijk zal de nieuwe entiteit gebonden zijn aan EU wetgeving. En mits er een verdrag is tussen de EU en US om data uit te wisselen met / zonder rechter dan zal die wisseling inderdaad plaatsvinden. Echter maakt het dan niet meer uit of het AWS, Microsoft of een EU initiatief is. Zodra er een geldig verzoek ligt zal die (juridisch) worden uitgevoerd.
Je wijst terecht op het strategische belang voor AWS en de noodzaak om het vertrouwen van Europese overheden te behouden. Ook ben ik het met je eens dat de juridische naleving van Europese wetgeving essentieel is voor het succes van dit initiatief en toch blijft er een principieel en juridisch kwetsbaar punt bestaan namelijk het feit dat het hier gaat om een dochtermaatschappij en, helaas, geen onafhankelijke entiteit van een Amerikaans bedrijf. Ook al opereert deze Europese tak zelfstandig en neemt het personeel aan binnen de EU en voldoet het aan EU-wetgeving maar dan nog blijft de Amerikaanse moeder aansprakelijk voor informatieverzoeken onder de CLOUD Act, zolang zij zeggenschap of controle kan uitoefenen. Dit is geen theoretisch scenario want zoals in de zaak Microsoft vs. United States (2013–2018) waarin de VS toegang eiste tot e-mails opgeslagen op Ierse servers. Ook in de Schrems II-uitspraak van het Hof van Justitie van de EU uit 2020 werd expliciet gesteld dat Amerikaanse wetgeving zoals FISA 702 en de CLOUD Act onverenigbaar zijn met de Europese privacywetgeving (AVG) wanneer er geen voldoende beschermingsmechanismen zijn. Bovendien, en dat is misschien nog schrijnender, is er geen bindend juridisch verdrag tussen de EU en de VS dat deze toegang structureel regelt. Het Data Privacy Framework is in feite een politieke afspraak en kan (helaas) zoals Schrems I en II hebben bewezen juridisch weer worden vernietigd. In dat geval staat de Europese entiteit van AWS alsnog onder druk zodra Washington een gerechtelijk bevel uitvaardigt. Het is niet voldoende dat een entiteit formeel ‘Europees’ is of opereert binnen de EU. Wat telt is of er volledige juridische en structurele onafhankelijkheid is van de VS. Zolang dat niet het geval is, blijft het risico bestaan dat Amerikaanse autoriteiten via de moedermaatschappij toegang eisen, en dat stelt zowel overheden als bedrijven bloot aan juridische onzekerheid. Je laatste punt, dat een geldig verzoek altijd moet worden uitgevoerd of het nu een EU of VS partij is klopt deels, maar alleen binnen de juiste rechtsgrondslag. En juist die grens is bij Amerikaanse cloudproviders onder Amerikaanse controle niet helder of gegarandeerd. |:( Vertrouwen is cruciaal, maar in de context van geopolitiek en wetgeving is vertrouwen zonder afdwingbare rechtszekerheid onvoldoende.
Er zijn twee gevaren die moeten worden afgedekt:
  • Amerikaanse bedrijven die gebonden zijn aan Amerikaanse wetten
  • Amerikaanse staatsburgers die gebonden zijn aan Amerikaanse wetten
Je kunt een Europese entiteit met Europese directie hebben, als er vervolgens honderden beheerders zijn met Amerikaans staatsburgerschap, heb je nog niets. Die beheerders kunnen via een National Security Letter gedwongen worden handelingen te verrichten. Ja, dat zal in strijd zijn met Europese regels en bedrijfsregels, maar dan is het kwaad al geschied.

Wat ik hier lees is dat één van de gevaren wordt afgedekt. Dat is een vooruitgang, maar nog geen veilige soevereine situatie.
Dit is precies de kern van het probleem. De discussie over digitale soevereiniteit wordt vaak versmald tot bedrijfslocatie en datacenterinfrastructuur maar dat is slechts 1 laag van het risico. De twee afzonderlijke maar overlappende juridische dreigingen zijn: Juridische zeggenschap via moederbedrijf (CLOUD Act) en Individuele zeggenschap via nationaliteit (bijv. FISA 702, NSLs). Zelfs als je een 100% Europees bedrijf hebt met data fysiek op Europees grondgebied kan je nog steeds ondermijnd worden als je personeel zoals systeembeheerders of security engineers Amerikaans staatsburger is, helaas. Die individuen kunnen namelijk, geheel buiten medeweten van het bedrijf om, worden verplicht tot het verstrekken van toegang, logins, of zelfs het plaatsen van achterdeurtjes via een National Security Letter (NSL) of bevel onder FISA 702. En omdat deze maatregelen vaak gepaard gaan met een gag order, mag de betrokkene er niet over communiceren ook niet met het bedrijf zelf of met toezichthouders. :+ Dit betekent dat zelfs de best bedoelde structuur, waarin AWS een Europese dochter opricht met EU-directie, nog steeds kwetsbaar is zolang Amerikaanse staatsburgers toegang hebben tot de infrastructuur of sleutelrollen vervullen. Dus komt het er eigenlijk op neer; AWS zonder Amerikaanse medewerkers van A tot Z en geen dochter-onderneming van amazon. Je hebt dus niet alleen juridische maar ook personele isolatie nodig. Pas als zowel de juridische structuur, de operationele controle en daarbij ook personele toegang exclusief Europees zijn geregeld, kun je spreken van echte datasoevereiniteit. Wat AWS hier doet is zeker een stap vooruit maar we moeten waken voor schijnzekerheid. Voor overheden, zorginstellingen of kritieke infrastructuur betekent ‘bijna soeverein’ nog steeds ‘niet veilig genoeg’.
Ja, eigenlijk is schijnveiligheid is deze kwestie nog gevaarlijker omdat dan de data ook echt de gevoelige data kan betreffen (want men waande zich tenslotte veilig).

Eigen encryptie zou dan nog kunnen worden toegevoegd (maar dan wel client-to-client - geen server-side decryptie).
Schijnveiligheid is in deze context misschien wel het grootste risico van allemaal. Als organisaties en overheden zich ten onrechte veilig wanen binnen een zogenaamd “soevereine” cloudstructuur, dan is de kans groot dat zij juist de meest gevoelige en kritieke data toevertrouwen aan een infrastructuur die juridisch of technisch alsnog kwetsbaar is. En juist omdat de infrastructuur lijkt te voldoen aan Europese eisen (AVG, EU-personeel, lokale opslag etc etc), ontbreekt vaak de extra waakzaamheid die men wel zou hanteren bij een “zichtbare” Amerikaanse cloudoplossing. Je opmerking over eigen encryptie is daarbij cruciaal en terecht. De enige realistische route richting werkelijke gegevenssoevereiniteit binnen een niet-EU gecontroleerde infrastructuur is: End-to-end encryptie (E2EE): waarbij alleen de eindgebruikers de sleutels beheren en de provider geen enkele mogelijkheid heeft om de data in te zien. Client-side key management: dus geen sleutels op servers van de provider (zelfs niet in Europese datacenters) en Zero-knowledge architecture: vergelijkbaar met modellen zoals bij ProtonMail of Tresorit, waar de dienstverlener zelf de data simpelweg niet kan ontsleutelen, zelfs niet onder dwang :) Maar zelfs dan moet men oppassen: zodra er server-side verwerking nodig is (zoals indexing, AI-inferentie of zoekfunctionaliteit), is volledige E2EE vaak niet toepasbaar. Dat betekent dat je als organisatie ook architectonisch keuzes moet maken: wat mag er uberhaupt in de cloud en wat moet strikt on-prem of air-gapped blijven? In zekere zin komt het neer op het oude adagium: "If you don’t control the keys, you don’t control the data." En zolang Amerikaanse hyperscalers technisch of juridisch ook maar enige zeggenschap hebben, kan je compliance fictief zijn en daarmee je risico reëel. Helaas maar waar.
Verder nemen de bedrijven Europees personeel aan om de infrastructuur te beheren
Komt rechtstreeks uit het bovenstaande artikel, dus geen Amerikaanse staatsburgers nodig. Kortom, beide risico's worden afgedekt.

Ik vind de oplossing an sich een goede ontwikkeling waarbij je eindelijk kunt garanderen dat de opgeslagen data ook echt gegarandeerd binnen de EU blijft, dat is gewoon sterk. Aan de andere kant van het spectrum zitten ook enkele zaken die zeker niet onderbelicht moeten worden. De eerste is dat de techniek nog steeds Amerikaans is en daarvan afhankelijk blijft in grote mate. Je kunt wel features weglaten of zoals ik las bij een andere comment, Route53 niet gebruiken, maar het blijft technologie die in Amerika ontwikkeld wordt. Er komt dus, behalve beheer, geen extra kennis naar de Europese unie.
Ten tweede, de stalemate blijft hetzelfde. Wanneer Microsoft en Google hetzelfde doen heb je nog steeds dezelfde drie cloudproviders die de markt grotendeels in handen hebben. Kortom, de status quo wordt niet doorbroken en daadwerkelijke Europese initiatieven komen daarmee niet van de grond of worden volledig doorontwikkeld door gebrek aan steun binnen bedrijven. Daarmee staat het haaks op de intentie van de Europese Unie en het beleid.
Mijn conclusie is dan ook dat het zeker een stap beter is dan wat we nu hebben, maar niet meer dan dat. De afhankelijkheid blijft, alleen de data wordt niet doorgespeeld. Dat is nog steeds een win, maar wel een beperkte al kies ik daar eerder voor dan de huidige oplossing.
Ik vind de oplossing an sich een goede ontwikkeling waarbij je eindelijk kunt garanderen dat de opgeslagen data ook echt gegarandeerd binnen de EU blijft, dat is gewoon sterk.
Welke garantie heb je dan? Een juridische dus? Dat is geen garantie gebaseerd op techniek. En zelfs als het een volledig losstaand bedrijf is, blijft een technische garantie moeilijk. Maar nu is juist de juridische kant twijfelachtig omdat de echte eigenaar nog steeds een Amerikaans bedrijf is. Waarbij het Amerikaanse 'recht' prevaleert (zelfs als dat recht ook niet rechtmatig verkregen is).

Waar de gegevens worden opgeslagen is eigenlijk net meer zo relevant als dat niet op servers is die echt eigendom zijn van de eigenaar van de data. Zelfs als deze in een Amerikaans datacenter staan ben ik al bang dat toegang door 'derden' niet zomaar te verhinderen is.

Eigenlijk ben ik bang dat zodra de data zijn weg heeft gevonden naar een systeem waar andere beheerders bij kunnen dan de beheerders van de data-eigenaar zelf, de data ook door 'derden' te benaderen is.
AWS is momenteel dik mensen aan het werven voor hun EU tak. Dus ik gok dat ze daarmee je punt twee willen vangen.
Dat kan je niet zeggen: Het is volkomen logisch dat ze Europese werknemers werven voor een Europese tak, maar dat betekent nog niet dat er nul Amerikaanse staatsburgers bij de knoppen kunnen. Pas als ze dat garanderen (en effectueren) verliest de Amerikaanse overheid de macht om erbij te kunnen.
Het zijn twee verschillende bedrijven inderdaad, maar ontsproten uit AWS. Het is AWS die met dit idee is gekomen, hetzelfde AWS wat vol achter CLOUD Act stond/staat. En ik ben ook niet tegen wetgeving, zelf niet per se tegen CLOUD Act, maar wel tegen de status die buitenlandse data hiermee krijgt. AWS, en de rest van de bedrijven die achter CLOUD Act staan, hadden moeten aandringen op zorgvuldigere behandeling van buitenlandse data in CLOUD Act en dan hadden we dit gezeur niet gehad.
Je kunt niet twee heren dienen. Je kunt niet zeggen dat je CLOUD Act steunt en tegelijk de EU wetgeving steunt. Die twee staan op een aantal vlakken recht tegenover elkaar. En door een maas in de wet te gebruiken door een tweede bedrijf te starten is niet per se een manier om vertrouwen te winnen bij de twee overheden.

Maar ondanks dat waardeer ik de creativiteit en denk ik dat dit wel het compromis is. De EU wetgeving is prima, de VS wetgeving ook, alleen bijten ze elkaar. Op deze manier kunnen we wel 'gewoon' blijven werken met elkaars producten en diensten en kunnen we de eigen wetgeving en rechten handhaven.
Een losse juridische boom opzetten is geen maas in de wet, maar toespitsen op verschillende regelgevingen.
Natuurlijk is het ook wel degelijk een maas in de wet. Het idee achter CLOUD Act is niet dat Amerikaanse dienstverleners/bedrijven actief werken aan een manier om dat te omzeilen voor klanten die er geen zin in hebben of wiens eigen wet- en regelgeving dat niet toestaat. Ik weet dat dit niet heel ongebruikelijk is, TikTok bijvoorbeeld zit in hetzelfde schuitje, maar dan in de VS... Maar het is toch wel een vreemde redenering.
Stel dat alle grote bedrijven dit gaan doen; wat weerhoudt hen ervan dit ook in China of Rusland zo op te bouwen? Zo voldoen ze overal aan de geldende wetgeving en is CLOUD Act een WC-rol geworden.
Precies, zo werkt dit. Die cloud act is dan alleen leuk voor het land waar die ingevoerd is, maar daar heeft de rest van de wereld dan geen last van. Goed nieuws voor de rest van de wereld. Hoera!
Niet per se. Trump&Co zullen dit niet leuk vinden. Of juist wel natuurlijk als de huidige wetgeving hierin al voorziet. CLOUD Act voorzag juist in de juridische mogelijkheden om buitenlandse data bij Amerikaanse bedrijven wereldwijd te kunnen bemachtigen. Daar wordt nu dus een aardige drempel voor opgeworpen.
Als een wet geen doel heeft om te voorkomen dat iets gaat gebeuren dan is het ook geen maas in de wet als een wet in de praktijk dat ook niet voorkomt. Hooguit zijn we het dan niet eens met de beperkte mogelijkheden die een wet geeft. Maar dat valt eerder gebrek aan (andere) wetgeving aan te rekenen.

Daarbij gaat ook op dat als we mogelijkheid.geven om bedrijven te laten fuseren en effectief naar een ander land of regio te verhuizen het omgekeerd ook op gaat dar we na een splitsing het niet zomaar nog hebben over hetzelfde bedrijf. Als we dat soort splitsingen om specifieke redenen niet willen dan hoort daar wettelijke grondslag voor te bestaan. Maar er is zeer veel vrijheid om te splitsen en fuseren, ook naar regio's of landen waar andere regels normen gelden.
Ik hoop het niet maar ik ben bang dat jij het te rooskleurig ziet. Zolang Amazon (US) eigenaar/groot aandeelhouder is in de EU variant blijft de link naar de US wetgeving gewoon in stand. MS "died on this hill" een paar jaar geleden.

https://geopolitique.eu/a...g-european-powerlessness/

de EU datacenters zijn geen eigendom van MS corp (US) maar van een sub ergens in de EU. maakte allemaal niets uit.

Natuurlijk, juridisch niet 1 op 1 de situatie die hier door AWS wordt gerealiseerd maar.... We hebben hier wel een stuk US jurisprudentie die duidelijk maakt hoe er daar over dit soort zaken wordt gedacht.
IAM is ook een globale dienst dus ze moeten wel een lokale versie hiervan opzetten. Ik verwacht dus dat ze dat ook gaan doen met Route53
Yariva Moderator internet & netwerken @TrailBlazer4 juni 2025 08:59
Zeker! Waar ik op doelde met mijn commentaar is dat je het profijt van een dienst welke schaalt over meerdere regio's zoals R53 en inderdaad IAM verliest. Dat zal een lokale implementatie gaan worden :)
Binnen de EU zijn er ook meerdere regio's/datacenters, dat je bijvoorbeeld Frankfurt met uitwijk Stockholm gebruikt op dit moment, en bedrijven die buiten de EU opereren hebben ook al met andere wetten te maken dat ze het anders moeten oplossen, en dan vaak met encryptie oplossingen werken en binding corporate rules constructies.
Klopt. Dit gaat over de "European Sovereign Cloud" van AWS, wat iets nieuws is, dus dit staat los van de bestaande AWS regions in Europa. Dit is een nieuwe region (eusc-de-east-1, voor de liefhebbers), die compleet airgapped van de rest van AWS wordt, net als ze al jaren doen met regions in China en de diverse Govcloud regions in de VS. Deze region heeft dus z'n eigen IAM en route53, aangezien je niet gebruik kan maken van de bestaande global services.

[Reactie gewijzigd door Moartn op 4 juni 2025 09:42]

Een voordeel is dat Ierland een van de eerste DC's van AWS is, dat zorgt er voor dat de meeste services ook in Europa werken. Simpelweg omdat het een van de meest volwassen DC's is en dus de nieuwste dingen als een van de eersten aan kan en krijgt.

AIM en Certificaten lag de root nog in N. Virginia. Als dat technisch wijzigd is de kans groot dat alles hier in de EU ook beschikbaar is.
Yariva Moderator internet & netwerken @djwice4 juni 2025 09:04
Ik interpreteer je commentaar dat je mogelijk ziet dat globale diensten straks eventueel vanuit dit onafhankelijke datacenter zouden kunnen samenwerken met een regio zoals Ierland. Mocht ik het verkeerd hebben begrepen, please let me know :)

Ik acht de kans bijzonder klein. Want de regio Ierland is niet van het bedrijf dat deze soevereine cloud opzet. Ierland is van AWS, niet van het bedrijf dat nu is opgetuigd welke hard en software gaat inkopen van AWS.

Ja het is een beetje verwarrend maar zo creëer je een volledige ontkoppeling.
Ah, il had verwacht dat Ierland bij de EU cloud zou zitten. Goed dat je aangeeft dat dat niet zo is. Dus alles moet verplaatsen naar Frankfurt.

Hmmm.. ook CloudFront en Lambda@Edge was natuurlijk N.Virginia de main, dus ook dat moet gesplitst.

Ook in de infra as code die checkt of je wel in de main regio deployed, gelukkig had ik dat al paramedisch met een map gedaan, dus moet straks simpelweg een andere regio ook op true en klaar.
hold your horses.
Frankfurt is ook niet de EU Sovereign Cloud van AWS. Frankfurt is net zoals Ierland en Stockholm etc onderdeel van het totale portfolio van AWS (global)

De EU Sovereign Cloud van AWS waar men het over heeft komt dit jaar online in Brandenburg, DE
Ah ok. Thanks. Ik moet me meer gaan verdiepen zie ik al. Thanks voor de correcties!
De vraag blijft van wie dat nieuwe moederbedrijf is en of dat een entiteit is die dan weer onder de clould act valt. M.a.w. als dat een Amerikaanse entiteit is dan ben je in het eindeffect nog nergens.
Je hebt gelijk dat AWS in haar communicatie sterk de nadruk legt op een nieuw, formeel afgescheiden dochterbedrijf dat operationeel en personeelsmatig binnen de EU blijft en dat dit bedrijf diensten afneemt van "AWS proper" als leverancier. Maar juridisch gezien verandert dat niet automatisch het kernprobleem: het blijft een dochteronderneming van een Amerikaans moederbedrijf (Amazon.com Inc.), tenzij de eigendomsstructuur fundamenteel anders is ingericht. Zolang dit nieuwe entiteit volledig eigendom blijft van een Amerikaanse onderneming, blijft zij in beginsel onderworpen aan de extraterritoriale werking van Amerikaanse wetten zoals de CLOUD Act. Deze wet stelt dat Amerikaanse bedrijven, en ook hun volle dochterbedrijven, gegevens moeten overhandigen wanneer daar via een Amerikaans gerechtelijk bevel om wordt gevraagd. Zelfs als de data zich in de EU bevindt en zelfs als het verzoek in strijd zou zijn met de AVG (General Data Protection Regulation). Dat is niet slechts een theoretische zorg want zowel Microsoft als Google hebben dit al in rechtszaken erkend en ook de EU-privacywaakhonden waaronder de EDPB hebben hier expliciet voor gewaarschuwd. De enige echte juridische manier om CLOUD Act-risico’s te mitigeren is via een structureel onafhankelijke entiteit onder EU-jurisdictie, waarbij de VS geen zeggenschap heeft over het bestuur, eigendom of de datatoegang. Maar ja, zouden ze dat toelaten is de echte vraag! Je punt over technische risico’s (zoals achterdeurtjes in software) is ook valide maar het juridische risico is hier allesbehalve opgelost........het is enkel herverpakt. We moeten dus kritisch blijven op PR-taal zoals "volledig EU-only" zolang er geen harde garanties zijn dat deze structuur juridisch soeverein is, en dus immuun voor Amerikaanse wetgeving. Tot die tijd blijft het vooral een vertrouwenskwestie en daar hebben we in privacy-gevoelige sectoren helaas al te vaak de rekening van gepresenteerd gekregen.
Clarifying Lawful Overseas Use of Data act / ‘CLOUD’ act (2018)
  • Company with US-presence: your data is not safe, not even if stored on EU-servers.
  • Company without US-presence, with corporate relationship with US-based company without possession, custody, or control over the data that is stored in the EU:/
    • it is advisable not to employ US nationals who have access to relevant data"
Aldus het antwoord op vragen van het NL NCSC.

Enig idee wie de eigenaar van de nieuwe entiteit wordt?

[Reactie gewijzigd door banaj op 4 juni 2025 09:47]

Al die Europese dochterondernemingen van Amerikaanse cloudbedrijven zijn in wezen een façade. Ook al staan je gegevens bij een Europees bedrijf, de eind eigenaar, via tig tussenbedrijven blijft Amerikaans. De Amerikaanse overheid mag dan niet zomaar in je data snuffelen, via wetgeving zoals FISA Section 702 (voor inlichtingendiensten) , is in bepaalde omstandigheden het nog steeds mogelijk om toegang te krijgen tot je data. En als zo’n juridische opening bestaat, dan wordt die vroeg of laat benut. Kijk maar naar hoe Trump vandaag bestaande wetten en noodprocedures uitgraaft en inzet voor zijn eigen agenda. Veel van zijn handelsmaatregelen zijn gebaseerd op oude wetgeving die eigenlijk voor crisissituaties bedoeld was. Maar kun je echt zeggen dat de VS zich momenteel in zo’n noodsituatie bevindt?

Ondertussen sussen ambtenaren en burgers zichzelf met de gedachte dat Europese datacenters en juridische entiteiten wel voldoende bescherming bieden. In werkelijkheid is dat gewoon een illusie.

Beste voorbeeld is wat er nu gebeurt bij het hooggerechtshof in Den Haag. De US legde sancties op tegen het gerechtshof en intussen werken onderdelen van Microsoft-suite niet meer. Het gevolg? Het gerechtshof ligt grotendeels plat. Dit is precies het risico van schijn-onafhankelijkheid

[Reactie gewijzigd door koekoe op 4 juni 2025 10:53]

En ik geloof zelf nog steeds omdat het gegarandeerd uiteindelijk door AWS VS wordt betaald en gefinancierd, en de uiteindelijke belanghebbende nog steeds dezelfde personen zijn, dat het meer voor het beeld is dan dat het echt wat bijdraagt.
Inderdaad, een kleine software "update" vanuit de VS, is genoeg om al die zogenaamde juridische veiligheidsconstructie te omzeilen.
Dat is toch dezelfde redenering die de VS gebruikte om ieder westers land te dwingen om Huawei apparatuur uit de netwerken te verwijderen.
Er zit wel een limiet aan gok ik. Wanneer is een bedrijf Amerikaans? Als het Amerikaanse aandeelhouders heeft? Want zo zou je het eigenlijk moeten zien denk ik. Als het Amerikaanse technologien in licensie afneemt? (want zo zullen ze het wel opzetten; alle "winst" van dat europeese bedrijf zal wel op gaan aan het kopen van licenties voor technologien die Amazon heeft gemaakt)

Je kan prima zoiets opzetten dat geen enkele Amerikaan (die onder de cloud act valt) toegang heeft tot data, dan kan die amerikaan ook niet gedwongen worden om die data stilletjes te overhandigen.

[Reactie gewijzigd door Kees op 4 juni 2025 08:49]

Er zit wel een limiet aan gok ik. Wanneer is een bedrijf Amerikaans?
Zolang het fascistische regime dat wil. Trump belt Bezos. Bezos doet wat hem opgedragen wordt. Lekker boeiend waar het bedrijf "gevestigd" is. Wie houdt hen tegen? Ze respecteren niet eens de wetten in hun eigen land, ik denk niet dat ze er echt wakker van liggen wat de EU er van vindt.
Je tekst _lijkt_ gechargeerd, maar het wrange is natuurlijk dat het Trump kamp inmiddels aantoonbaar wetten botweg negeert wanneer het ze uitkomt en partijen klaarblijkelijk onder torenhoge druk kunnen zetten.

In een verkruimelende rechtstaat kun je wetten invoeren tot je een ons weegt, maar als die door de zittende macht genegeerd worden zonder dat je daar verder controle over hebt, dan ben je wel een beetje klaar. Dat je een deel van je bedrijf in het buitenland als nieuwe entiteit opzet is een aardige poging, maar 'when push comes to shove' is dat ook weer ongedaan te maken. Of ook te negeren. Of de geldstroom wordt gestopt. Je maakt mij niet wijs dat Amazon / Bezos uit de 'goedheid van hun hart' dit gaan 'schenken' aan Europa, zonder absolute eindcontrole te houden.

Dus idd, een aardig gebaar op papier, maar het praktisch nut valt nog te bezien. Maar goed, mss heeft het nut over ~3,5jaar. Of eerder. Of nooit meer.

[Reactie gewijzigd door CaptainKansloos op 4 juni 2025 09:18]

Idd. Dit is een typisch gebaar om de gemoederen rustig te krijgen cq. betere sales pitch te kunnen houden.
Misschien... ik denk juist dat de bedoeling is dat het Europese deel onafhankelijk wordt bestuurd en dan tegen het moederbedrijf kan zeggen: "sorry deze dat krijgen jullie niet, tenzij met een Europese rechterlijke uitspraak in de hand" en Bezos zegt dan tegen trump dat het de data niet heeft. Als het Europese deel de verbindingen beheert, kan je vanuit de USA niet spontaan wat data krijgen. Hoe waterdicht dit alles is, is moeilijk te zeggen, maar Europese centra kunnen ook gehackt worden... dit is "zo goed als mogelijk" voor nu.
1. Een bedrijf is Amerikaans als het in de VS een statutaire zetel heeft. Amazon heeft daar de statutaire zetel, AWS heeft deze straks in Duitsland.
2. Het is niet zo, zoals mensen hieronder betogen, dat een heel moederconcern bepaalt waar de statutaire zetel van alle dochterondernemingen gevestigd is. Dat zou in strijd zijn met het principe van rechtspersoonlijkheid, wat als doel heeft een eigen entiteit te scheppen.
3. Moeder- en dochterondernemingen kunnen zelf bepalen wat hun relatie tot elkaar is, d.w.z.: of de moeder aandeelhouder is, dan wel in personele unie is. Het belangrijkste is dat de winst bij het moederconcern terechtkomt.

[Reactie gewijzigd door Saqu op 4 juni 2025 09:28]

Zo werkt de wereld niet.

Het is en blijft eigendom van de Amerikanen. Met Amerikaanse aandeelhouders en draaiende op Amerikaanse software. De juridische status is compleet irrelevant en puur voor de bühne.

Amerika neemt het niet zo nauw met wetgeving. Ook voor Trump deden ze dat al niet (NSA/Snowden, Cisco backdoors, etc). En nu al helemaal niet meer.
Het is en blijft eigendom van de Amerikanen. Met Amerikaanse aandeelhouders en draaiende op Amerikaanse software. De juridische status is compleet irrelevant en puur voor de bühne.
Ligt aan de structuur. Als ze "slechts" aandeelhouder zijn die de winst opstrijken, maar geen operationele sturing kunnen uitoefenen, dan kan het werken. Maar dat lugt aan de juridische afstand die men creeert tussen bedrijf en aandeelhouder.
Alleen wettelijk gezien komen ze hier dus wel onder de wet uit die amerikaanse bedrijven zogenaamd zou verplichten om op verzoek data te delen met hun overheid. Dus wettelijk gezien kan de amerikaanse overheid niet bij deze data. Maar zoals nu ook al is, als de amerikanen de data willen hebben, dan krijgen ze die toch wel, maakt niet uit wat voor bedrijf het is, ook al zet jij nu een compleet nieuw datacenter hier op helemaal op eigen software, als de amerikanen bij die data willen dan komen ze daar wel bij.
Ah, dus alle internationale verdragen, vennootschapswetgeving zoals Boek 2 BW, en het principe van rechtspersoonlijkheid zijn slechts 'voor de bühne' omdat de VS het niet zo nauw neemt? Dat is een interessante, zij het wat cynische, kijk op de wereldorde.

Ik ben oprecht benieuwd hoe jij de dagelijkse praktijk van internationaal recht en ondernemen dan wél ziet functioneren zonder deze 'bühne'. Misschien een goed onderwerp voor bij de koffie morgenmiddag bij Oliver's? Dan kunnen we de relevantie van Boek 2 en het Europees privaatrecht eens tegen jouw wereldbeeld aanhouden.
Ik mijd de Zuidas als het even kan. Het werd hierboven al gezegd; zolang de nieuwe entiteit eigendom is van een Amerikaanse entiteit of een organisatie met een Amerikaanse entiteit, valt deze onder de cloud act.

Daarnaast is de Amerikaanse overheid niet vies van het opleggen van sancties. Zie ook de ICC casus. Doe je iets wat hen niet aanstaat? Dan trekken ze gewoon de stekker uit je hele omgeving.

Kortom, je kunt wel roepen dat Europese/Nederlandse wetgeving prevaleert, de realiteit is dat Amerika dit gewoon als hun eigendom ziet en daar ook naar acteert.
Je hebt een punt dat de CLOUD Act een reële zorg is en de VS niet terugschrikt voor extraterritoriale maatregelen. Maar dat maakt de juridische status van een Duitse AWS-entiteit, opererend onder Duitse en EU-wetgeving zoals de GDPR, niet 'puur voor de bühne'. Het creëert juist een complex spanningsveld.

De EU heeft met de GDPR en de (weliswaar lastig toepasbare) 'Blocking Statute' instrumenten om hier tegenwicht aan te bieden. Het is geen gelopen race waarbij Europese wetgeving per definitie het onderspit delft.

Daarnaast was mijn eerdere punt ook voornamelijk gericht op iedereen die hier de basis van het (internationaal) privaatrecht negeerde.
Volgens mij gaat het er om waar een bedrijf/moederbedrijf geregistreerd staat.

Als de redenering zou kloppen en het om de aandeelhouders ging, is het "redelijk eenvoudig" om een bedrijf wat op de beurs genoteerd is - al is deze 100% in Nederland gevestigd, geregistreerd, opererend - ineens onder de CloudAct/Amerikaans recht te laten vallen: koop gewoon de helft+1 aandeel op via de beurs.
Omdat alle data, medewerkers en het adviesorgaan zullen allemaal Europees zijn. Daarmee wordt de jurisdictie van de cloud act geminimaliseerd. Het hele idee is juist om zo goed mogelijk Europese gegevens te beschermen tegen deze wet ondanks dat het moeder bedrijf Amazon Amerikaans is.
Nou ja het moederbedrijf kan onder druk gezet worden. Amazon doet dit niet omdat ze zo ethisch verantwoord zijn en het beste voor ons hebben.
En inderdaad wanneer is een bedrijf Amerikaans? Ik gok dat het ook daaronder valt als je een hoop licenties/royalties betaalt aan een bedrijf wat gevestigd is in de VS. De financiele belangen zorgen wel voor Amerikaanse invloeden.

[Reactie gewijzigd door com2,1ghz op 4 juni 2025 09:31]

uit een anwoord van @banaj
  1. Company without US-presence, with corporate relationship with US-based company without possession, custody, or control over the data that is stored in the EU:/
  • it is advisable not to employ US nationals who have access to relevant data"
Dat rijkt dus heel erg ver.
Goede vraag. Het is niet zo eenvoudig om te beantwoorden aangezien de Amerikaanse wetgeving niet heel duidelijk is op dit gebied. Het lijkt erop dat ze in elk geval zoveel mogelijk drempels willen inbouwen zodat het echt lastig wordt voor de overheidsinstanties om even bij de data te kunnen.
Aan de andere kant draait het om vertrouwen. Microsoft, Apple, Google, AWS... allemaal bedrijven die voorstander waren van CLOUD Act. Zij willen dit. AWS wil CLOUD Act; zij willen dat de Amerikaanse overheidsinstanties (via de rechtbank) bij alle data kan.
Ik snap de behoefte, ik snap ook dat er een oplossing moet komen, maar de Amerikanen kunnen nog weleens rekbaar omgaan met de rechten van niet-Amerikanen. In theorie moet het via de rechter, maar in de praktijk weten ze die keurig te omzeilen.
Ik vraag me dus af of AWS hiermee een oplossing heeft bedacht om de Europeanen binnen te houden en CLOUD Act te blijven honoreren, maar volgens EU voorwaarden.
Als de medewerkers geen Amerikanen zijn, en niet in de VS wonen, vallen ze niet onder de Cloud Act. Moeten ze natuurlijk wel zorgen dat Amerikaanse AWS-medewerkers niet alsnog toegang tot de Europese datacenters krijgen en dat de managementstructuur ook onafhankelijk van Amazon US is. Uiteindelijk krijg je dan een soort franchise die de techniek en de naam van AWS onder licentie gebruikt maar die verder onafhankelijk opereert. De betalingen voor die licenties is dan hoe Amazon aan de Europese vestiging verdient.
Ik zou toch verwachten dat als de overheid van de VS bij Amazon aanklopt voor EU data ze dit zullen moeten opvragen in Duitsland omdat ze zelf geen toegang meer hebben.
Ik neem ook aan dat AWS Duitsland dan 'nee' zegt.
Als Amazon in Amerika alsnog zelf direct toegang heeft tot de data is dit een wassen neus, maar dan zou niemand erin trappen toch? Of denk ik te simpel?
Dat is de legitieme route. Zal me niets verbazen als hier en daar toch wat backdoors "per ongeluk" komen. Dat gebeurt nu al. Er zullen hoe dan ook banden komen met het moederbedrijf.

Ik vind het best naief om te geloven dat een bedrijf als Amazon zich activistisch zal opstellen voor het beschermen van ons belang als het zo ver komt Daar hebben we ook geen Amazon voor nodig eigenlijk.
Net als heel het ophef over Chinese camera' s, cloud, en telecomapparatuur mogen we hopelijk dezelfde maatstaf gebruiken voor Amerikaanse diensten.
Dit heeft niks met activisme te maken, maar met een concurrentiepositie.
Door een aparte Europese entiteit op te richten kunnen ze relevant blijven in Europa en hopelijk (vanuit hun oogpunt) voorkomen dat we een eigen clouddienst realiseren die Amazon wegconcureert.
Ik vind het best naief om te geloven dat een bedrijf als Amazon zich activistisch zal opstellen voor het beschermen van ons belang als het zo ver komt
Wat heeft dat met activisme te maken? Amazon wil niet dat Europese klanten weglopen omdat ze teveel risico's voor hun data zien. Zo geven ze klanten een reden om vertrouwen in AWS te houden. Ik zie daar geen activisme in maar klassieke marktwerking. De klant wil iets, wil er ook voor betalen, en daar wil Amazon wel wat aan verdienen.
Als het puntje bij paaltje komt en het moederbedrijf wel plotseling vraagt om data? Dan wil je dat het bedrijf zich verzet en het belang van de EU voren zet.
Ik weet niet of je Amazon en Co voor de rest kent maar die staan niet heel goed bekend om het houden aan de regels.
Hoezo moederbedrijf? Als ik het zo lees wordt dat Europese bedrijf onafhankelijk van Amazon en gebruiken ze straks gewoon de technologie en de naam van AWS. Amazon is er zelf ook mee geholpen als ze aan de Amerikaanse overheid kunnen uitleggen dat ze geen invloed op de Duitse tak hebben en dat justitie maar contact met de Duitse overheid op moet nemen als ze inzicht in de AWS data willen.
Als je het artikel gelezen hebt dan zie je dat ze het hebben over het oprichten van dochterondernemingen in Duitsland ;)
Als je het artikel gelezen hebt dan zie je dat ze het hebben over het oprichten van "een nieuw moederbedrijf en drie dochterbedrijven". Overal, ook in het originele persbericht, wordt de nadruk gelegd op het souvereine karakter. En ik kan niet beoordelen of AWS liegt maar aangezien de Duitse overheid ook aan tafel zit ga ik ervan uit dat die deze ontwikkeling ook kritisch volgen.
Hoewel dit op het eerste gezicht een stap in de goede richting lijkt voor Europese digitale soevereiniteit moeten we kritisch blijven over de fundamentele juridische realiteit: de Amerikaanse CLOUD Act (Clarifying Lawful Overseas Use of Data Act) blijft onverminderd van kracht en deze wet verplicht Amerikaanse technologiebedrijven zoals Amazon, Microsoft en Google ertoe om, indien daartoe verplicht door een geldige Amerikaanse gerechtelijke procedure, gegevens te overhandigen aan Amerikaanse autoriteiten, zelfs als die data fysiek is opgeslagen op Europese bodem. Dit ondermijnt in de kern het principe van gegevenssoevereiniteit waar dit initiatief zogenaamd voor staat. De controle over data zit namelijk niet alleen in de fysieke locatie of het staatsburgerschap van de medewerkers, maar vooral in de jurisdictie waaronder het moederbedrijf valt. Amazon.com, het moederbedrijf van AWS, is een Amerikaans bedrijf en valt dus onder de Amerikaanse wetgeving. Dat betekent dat de Amerikaanse overheid via juridische instrumenten toegang kan eisen tot gegevens in deze "soevereine" cloud. Tenzij AWS haar Europese tak structureel juridisch afscheidt door bijvoorbeeld via een volledige eigendomsoverdracht aan een entiteit die niet onder Amerikaanse jurisdictie valt; blijft dit een semantische oplossing en geen fundamentele. Het is een technische, organisatorische en politieke pleister op een juridisch lek. Echte digitale soevereiniteit vereist dat data wordt gehost en beheerd door Europese bedrijven die volledig onder Europese wetgeving vallen. Zolang de CLOUD Act niet wordt herzien of bedrijven als AWS onder Amerikaanse controle blijven, moeten we dit soort initiatieven zien voor wat ze zijn: een commerciële tegemoetkoming, maar geen sluitende oplossing voor het juridisch beschermen van Europese data tegen buitenlandse inmenging.
Artikel 48 AVG verbiedt categorisch medewerking aan bevelen uit landen buiten de EER, inclusief dus bevelen die onder de CLOUD Act worden gegeven. Deze Europese bedrijfsstructuur valt geheel onder de AVG en haar directie moet dus voorrang geven aan die bepaling.

Waarom precies zou een in Europa zittend bestuur van een Europese rechtspersoon medewerking geven aan een Amerikaans bevel dat in strijd met EU-wetgeving is gegeven? En dan bedoel ik niet "ja omdat dat vanuit Amerika moet", wat gebeurt er precies met deze Europese bestuurders als zij "eh, nee, AVG" terug zeggen tegen meneer Bezos?
Artikel 48 van de AVG is duidelijk omdat gegevensoverdracht aan derde landen op basis van buitenlandse (niet-EU) bevelen is niet toegestaan zonder passend rechtsgrondslag zoals een internationaal verdrag. Dat betekent dat een bevel op grond van de Amerikaanse CLOUD Act, op zichzelf, geen legitieme basis vormt voor een Europese rechtspersoon om gegevens over te dragen.

Maar daarmee is het risico niet weg. Waarom?
  1. De CLOUD Act is extraterritoriaal. Ze is geschreven om bedrijven met hoofdkantoor in de VS (en hun volle dochtermaatschappijen) te dwingen medewerking te verlenen, ook als de data in het buitenland staat.
  2. Het Europese bestuur kan inderdaad zeggen: “Wij mogen dit niet van de AVG”. Maar dan ontstaat er juridische frictie: ze voldoen of aan Europese wetgeving en riskeren sancties in de VS (zoals boetes, dagvaardingen, of beperkingen op Amerikaanse activiteiten), of ze voldoen aan de CLOUD Act en riskeren sancties van de Europese toezichthouders (zoals hoge AVG-boetes).
  3. Het fundamentele probleem is dus niet of de Europese directie "ja of nee" mag zeggen maar het probleem is de onmogelijkheid om beide wetgevingen tegelijk na te leven. Dit is precies de reden waarom het Schrems II-arrest het EU–VS Privacy Shield ongeldig verklaarde, de toegang van Amerikaanse autoriteiten tot data van EU-burgers, zonder voldoende juridische bescherming , was in strijd met de fundamentele rechten van Europeanen.
  4. En wat betreft je vraag “Wat gebeurt er als Europese bestuurders nee zeggen tegen meneer Bezos?”: die druk zal in de praktijk niet altijd van Amazon komen, maar van een Amerikaanse rechtbank of overheidsinstantie. Dan is de vraag of er via bijvoorbeeld governanceconstructies, aandeelhoudersmacht of toegang tot systemen alsnog druk wordt uitgeoefend, buiten de wil van het Europese bestuur om.
Conclusie:
Artikel 48 biedt juridische dekking, maar alleen zolang de EU-entiteit volledig autonoom handelt en bestand is tegen indirecte druk (zowel juridisch als praktisch). De echte oplossing ligt niet in AVG-artikelen, maar in het voorkomen van juridische overlap tussen EU- en VS-jurisdicties. En dat kan alleen door cloudinfrastructuur te bouwen buiten de zeggenschap van Amerikaanse moederbedrijven.........hoe goedbedoeld hun Europese dochter ook functioneert.
Indirecte druk zoals boetes, dagvaardingen, of beperkingen op Amerikaanse activiteiten vind ik moeilijk voorstelbaar. Ik bedoel, welk effect heeft dat op een Europees bedrijf? Verder dan "ga niet op vakantie in de VS" kom ik niet. Er is geen rechtsgrond voor uitlevering van de betrokken bestuurders naar de VS.

Heel indirect zou zijn dat de VS dan de creditcardmaatschappijen verbiedt betalingen te aanvaarden voor AWS-EU. Ook dat mag weer niet van Europees recht, maar is altijd een lekkere stok (hoi Wikileaks).
Je hebt helemaal gelijk dat directe juridische middelen zoals uitlevering van Europese bestuurders in deze context niet realistisch zijn. Er is simpelweg geen rechtsgrond om iemand uit te leveren voor het niet naleven van een Amerikaans bevel dat in strijd is met EU-wetgeving. De bescherming van de AVG en Europese rechtsprincipes is daar heel helder over. Maar "indirecte druk" hoeft juridisch niet sluitend te zijn om effectief af te schrikken. Denk bijvoorbeeld aan deze scenario’s:

Zwarte lijsten en exportrestricties
De VS kan bedrijven die weigeren mee te werken aan bijvoorbeeld een CLOUD Act-verzoek plaatsen op een zwarte lijst zoals de Entity List van het Amerikaanse ministerie van Handel. Dit zagen we bij Huawei: geen toegang meer tot essentiele technologie (zoals die van Google Services of Intel-chips) met enorme commerciële schade als gevolg.

Financiële druk via betaalinfrastructuur
Zoals je zelf al aanhaalt in het geval van WikiLeaks hebben Amerikaanse autoriteiten druk uitgeoefend op Visa, Mastercard en PayPal om betalingen te blokkeren......zonder gerechtelijk bevel. Datzelfde zou in theorie kunnen gebeuren bij een EU-entiteit die te onafhankelijk handelt van haar Amerikaanse moederbedrijf.

Vergeldingsmaatregelen op groepsniveau
Zelfs als AWS European Sovereign Cloud formeel apart opereert is het nog steeds eigendom van amazon.com Inc. Als een Europese dochter weigert mee te werken kan de VS op groepsniveau vergeldingsmaatregelen nemen zoals het intrekken van overheidscontracten, belemmeren van Amerikaanse vestigingen van het moederbedrijf, of bevriezen van assets onder hun jurisdictie.

Strategische isolatie
In het ergste geval kan de VS bepaalde regio’s of activiteiten van een techbedrijf als “niet compliant” aanmerken en daarmee de wereldwijde reputatie of interoperabiliteit van het platform ondermijnen. Denk aan vertragingen bij certificeringen, software-integraties, of beperkingen op API’s, licenties of developer tooling en dat allemaal zonder een formele rechtszaak.

Het punt is dat de juridische macht van de VS eindigt aan de grens, maar haar economische en infrastructurele macht niet. De dreiging van sancties, blokkades of reputatieschade kan al genoeg zijn om een dochteronderneming, formeel autonoom of niet, op koers te houden. Zolang de eigenaar van de Europese cloudprovider een Amerikaans moederbedrijf is, kan druk uitgeoefend worden zonder een stap in een Europees hof. En dat maakt de afhankelijkheid reëel zelfs zonder uitleveringsverzoeken of handboeien.
Benieuwd of dit in de praktijk ook daadwerkelijk een verschil gaat maken? In beginsel kan de Amerikaanse overheid elk Amerikaans bedrijf dwingen data af te staan, of het bedrijfsonderdeel nu 'boekhoudkundig' in de EU is gevestigd of niet. Volgens de Amerikaanse overheid blijft AWS een Amerikaans bedrijf met alles wat daar onder hangt.
Zolang de Europese raadsleden deze verzoeken van het moederbedrijf kan blokkeren lijkt mij dat voldoende. Wel moeilijk echter om dit te controleren en ook om te zorgen dat het moederbedrijf echt geen toegang heeft tot de Europese tak
En dat is dan alleen nog maar juridisch gedacht. Het mag na het afgelopen half jaar toch wel duidelijk zijn dat de wet geen enkele belemmering meer is voor het Amerikaanse regime. Zolang die bestuursleden via Bezos beïnvloed kunnen worden (en dat kunnen ze, want op één na hebben ze banden met Amazon) kunnen deze dus illegale toegang verschaffen tot deze Europese cloud-infrastructuur. Lijkt me echt weinig verschil maken deze opzet.
Ik denk dat je daarin gelijk hebt. Het klinkt voor mij onwaarschijnlijk dat AWS opeens CLOUD Act niet meer zou steunen en de EU data ontoegankelijk maakt voor hun lieve overheidsdiensten. Ik verwacht eigenlijk dat dit een compromis is waarbij AWS nog steeds CLOUD Act kan honoreren, maar wel met EU voorwaarden. Eén van de zorgen is bijvoorbeeld dat de overheid in de VS nog weleens geneigd is de rechtbank te passeren wanneer het over niet-Amerikanen gaat. Als dit binnen de EU valt, dan moet het minimaal via een rechter gaan.
Het is het één of het ander. Je kunt niet aan beide tegelijk voldoen, cloud act èn EU regels, dat is onmogelijk. Het een sluit het ander uit. Voor mijn gevoel is deze hele aankondiging van AWS een wassen neus.
Ja, daarin heb je gelijk. Ik denk dat AWS (maar ook de politici) het beste van twee werelden willen. Het wordt juridisch heel interessant wanneer een Homeland Security bij de EU-AWS data komt opvragen via een Amerikaanse rechtbank. Kan een EU rechtbank dan nog iets betekenen? Ik vraag het me af... Maar dit sluit wel aan bij de huidige wetgeving. EU blij, VS blij en AWS blij.
Het enige positieve wat ik kan bedenken is dat het wel een paar extra drempels opwerpt. De VS moet dan via rechtbank en met de huidige implementatie van CLOUD Act is dat zeer de vraag.
Artikel 48 AVG zegt dat bevelen van Amerikaanse rechtbanken inzake afgifte persoonsgegevens zonder rechtskracht zijn. Het moet via een rechtshulpverzoek. Dus een Europese rechtbank zal zo'n bevel niet erkennen, zodat AWS-EU niets hoeft te doen.
Bedankt voor de verduidelijking.
Maar dit is niet zo zeer boekhoudkundig, dit is echt gewoon een compleet los bedrijf.
> Servers van Amazon zelf

Dus valt onder de Cloud Act, dus nog steeds niet echt soeverein?

Wat moeten ze doen om daar niet onder te vallen?
Een bedrijf los van Amazon, dus exclusief de gehele merknaam, starten in Europa met een hoofdvestiging ook in de EU.
Misschien een beetje kort door de bocht en kan ook een onduidelijkheid in het artikel zijn. Het hele idee van deze opzet is dat er een Amazon EU tak bestaat die niet onder de Cloud act valt.
Wanneer deze EU tak niet onder Amazon US valt, maar alleen maar servers en software(licenties) koopt van ze, zou het niet onder die CLOUD act moeten vallen.
Dat is dan hetzelfde wanneer een Nederlands bedrijf een server koopt van het Amerikaanse HPE, en daar software van het Amerikaanse Microsoft op zet, valt dat bedrijf ook niet ineens onder die act, en hebben HPE en MS ook geen toegang tot de data op die server.
Ach zolang het een Amerikaans bedrijf is, ontkomen ze niet aan de CLOUD act. Dus waar de data ook staat, de Amerikanen kunnen het opvragen.
"De zogeheten AWS European Sovereign Cloud bestaat uit een nieuw moederbedrijf en drie dochterbedrijven die alle vier in Duitsland worden opgericht."

Staat letterlijk in het artikel, het wordt een nieuw moederbedrijf, die inkoopt bij Amazon, maar alle data blijft in de EU. Daarmee omzeilen ze de cloud act.
Als dat zo was, dan was dit direct gebeurd in 2018 toen de CLOUD act actief werd. Maar door de huidige bezetting in het Witte Huis, maken EU landen zich ineens druk om Amerikaanse cloud providers en kijken dus wel serieus naar EU alternatieven. AWS wil graag die klanten behouden en gaat daarom deze constructie uitvoeren, maar alsnog biedt dit geen garanties tegen de CLOUD act.
De plannen voor de bouw van dit datacentrum stammen al vanaf begin 2024. Kan zijn dat er geanticipeerd is op de komst van Trump, maar lijkt mij niet per se de reden.

https://www.aboutamazon.e...-european-sovereign-cloud
Nee dan niet nee, maar nu uitgebreid hierover vertellen juist wel weer.
We gaan het meemaken :)
De software (en hardware) wordt nog steeds gemaakt onder de leiding van de US dus als het zover komt dat het nodig is kunnen ze makkelijk een backdoor plaatsen.
Gaat de Europese tak actief de software/hardware auditen op backdoors en andere "call-home" functionaliteit? Lijkt me onwaarschijnlijk dat daar budget en mensen voor worden ingehuurd.

Verder zal het jaren zo niet decennia kosten voor het aannemen en opleiden van mensen om de gehele techstack van AWS te beheren voor Europa. Als het al ooit echt overgedragen kan worden, zeker voor de echt complexe issues.

Al met al is het vooral een papieren exercitie. Als er echt een conflict ontstaat met de US zal de boel alsnog binnen no time op zwart kunnen worden gezet in Europa.
Mochten relaties met de VS nog verder verslechteren, dan is er in ieder geval een weg om deze bedrijfsonderdelen van Amazon US af te splitsen, zodat het in ieder geval op papier in Europese handen is. Lijkt me een goede politieke move.
Niet zo lang bedrijven afhankelijk zijn van een inrichting op basis van de Amazon stack. De volledige ontwikkeling van het cloud product vindt nog steeds plaats in de US.
Een bedrijf wat alleen bestaat om Amazon hardware en software in de EU te exploiteren gaat niet actief met Amazon concurreren.
Als die amazon hardware en software gewoon in de EU staan, en het bedrijf een EU bedrijf is dan maakt het geen bal uit waar de hardware/software ontwikkeld wordt.
En dit nieuw amazon EU bedrijf gaat in feite dus wel concurreren met amazon US, want je kunt dadelijk dus kiezen of je bij EU of US je services afneemt. de US variant valt wel onder die CLOUD act, de EU variant niet.
Als die amazon hardware en software gewoon in de EU staan, en het bedrijf een EU bedrijf is dan maakt het geen bal uit waar de hardware/software ontwikkeld wordt.
Dal maakt wel zeker een bal uit: de volledige ontwikkeling van zowel chips als software zit in de US. Het is niet dat zo'n datacenter ooit 'klaar' is: hardware moet worden vervangen na een aantal jaar, software moet gepatched worden om veilig te blijven. Als de US tak geen nieuwe software meer levert is het snel afgelopen met het EU datacenter. Als je helemaal diep in de Amazon diensten zit met je bedrijfs infra kan je in die tijd echt niet even naar een ander platform migreren.
Tja, als je in welk diensten dan ook diep in zit is het lastig om te migreren, ook met een eigen beheert platform, wat VELE malen duurder kan zijn, en je ook maar de mensen moet kunnen werven die het kunnen blijven onderhouden, en dat is vaak ook al geen kattepis.
Het beheren van een platform is dan ook iets wat je alleen moet doen als je bereid bent te betalen voor die strategie. Er is niks mis met het uitbesteden van dit soort diensten, mits de partij waarheen dat gebeurt te vertrouwen is.
Maarja, dan moet die partij dus wel vergelijkbare ondersteuning/services hebben als AWS of Azure en dus goede ondersteuning voor je developmentplatform. En daar dan ook weer developers voor kunt vinden als de huidige weg gaan.
Ik denk dat het leed voor de US hyperscalers in de EU markt al geleden is. Er is namelijk iets in het gedrang dat lastig te repareren valt: vertrouwen.
Er is één belangrijk ding waardoor het wel te redden valt: Er is geen Europese hyperscaler (die goed genoeg is).

Door een apart bedrijf op te zetten waar de EU cloud uit geserveerd wordt, is een goede manier om dat vertrouwen weer terug te winnen. Dat maakt het wel lastiger om een écht Europese concurrent te laten ontstaan, dus is voor die USA bedrijven een aantrekkelijk om te doen. Want op dit moment is dat de grootste dreiging voor hun. De westerse landen zullen namelijk niet naar een Chinees bedrijf overstappen. En dan heb je alle grote clouddiensten wel gehad.
Er is inderdaad geen vergelijkbare hyperscaler, maar het goede nieuws is dat 95% van wat op AWS draait ook helemaal geen hyperscaler nodig heeft. Ik adviseer klanten die bij hyperscalers draaien andere oplossingen en de conclusie is dat bijna niemand de schaal of technische noodzaak heeft om een hyperscaler nodig te hebben. En het is echt niet zo dat, zoals soms gesuggereerd, geen topkwaliteit, compliance en schaalbaarheid kunnen bieden.
Ze hadden ook eigenlijk weinig keus. Redden wat er te redden is. En dan is de keuze makkelijk gemaakt om hetzelfde te doen als wat Microsoft deed.

In hoeverre dit ècht los komt - voldoende voor EU (lidstaten) - of puur voor de bühne is...

Het is linksom of rechtsom wèl een goed iets. Ik vraag mij nu af hoe gemakkelijk dadelijk zaken hier naartoe te verplaatsen zijn voor huidige klanten. Bij MS is alles praktisch uit steen gehouwen als je een regio hebt gekozen.
Bij MS is alles praktisch uit steen gehouwen als je een regio hebt gekozen.
Uhm, daar is gewoon een simpele 'Move' optie voor in je Azure abo, kan bijna niet simpeler...
Totdat er aangetoond kan worden dat de hoogste functionaris bij Amazon (oftewel Bezos) op geen enkele manier bij de data van deze European Sovereign Cloud kan, en de infrastructuur op geen enkele mogelijke manier kan beinvloeden lijkt dit me allemaal vrij zinloos.

Gezien het feit dat 3 van de 4 bestuursleden banden met Amazon zullen hebben lijkt me dat al onmogelijk.

[Reactie gewijzigd door HooksForFeet op 4 juni 2025 09:49]


Om te kunnen reageren moet je ingelogd zijn