Je hebt net een AI-tool laten bouwen. Documenten worden automatisch geanalyseerd, klantdata stroomt door slimme workflows, en het bespaart je team uren per week. Alles werkt.
Tot je je afvraagt: waar gaat die data eigenlijk naartoe?
Het antwoord is bijna altijd hetzelfde. Naar OpenAI. Of naar Microsoft, of naar Google, of naar Amazon. Je data (klantgegevens, contracten, bedrijfsinformatie) wordt verwerkt door een Amerikaans bedrijf, onder Amerikaanse wetgeving. Zelfs als die verwerking in een Europees datacenter draait.
En dat heeft consequenties waar niet altijd bij wordt stilgestaan.
De CLOUD Act: Waarom "servers in Europa" niet genoeg is
Veel bedrijven denken dat ze veilig zitten zolang hun data in een Europees datacenter staat. Dat klinkt logisch, maar het klopt niet.
De Amerikaanse CLOUD Act uit 2018 geeft Amerikaanse autoriteiten het recht om data op te vragen bij elk Amerikaans techbedrijf, ongeacht waar die data fysiek is opgeslagen. Een Europees datacenter van Microsoft, Google of Amazon verandert daar niets aan. Het moederbedrijf is Amerikaans, dus de CLOUD Act is van toepassing.
Dit is geen theoretisch risico. Het is inmiddels onder ede bevestigd. In juni 2025 werd Anton Carniaux, juridisch directeur van Microsoft France, tijdens een hoorzitting van de Franse Senaat direct gevraagd of hij kon garanderen dat data van Franse burgers niet aan de VS zou worden overgedragen.
"Nee, dat kan ik niet garanderen."
— Anton Carniaux, Juridisch Directeur Microsoft Frankrijk (onder ede, juni 2025)
Microsoft benadrukte dat het tot nu toe nooit is gebeurd, maar erkende dat het bedrijf juridisch verplicht is om aan een geldig Amerikaans bevel te voldoen, ongeacht waar de data staat.
Een belangrijke kanttekening: ook Europese cloudproviders met internationale operaties zijn niet automatisch immuun. In september 2024 beval een Canadese rechter het Franse OVHcloud, dat zich profileert als kampioen van Europese data-soevereiniteit, om klantdata van servers in Frankrijk, het VK en Australië over te dragen aan de Canadese politie. OVHcloud vecht het bevel aan, maar de zaak legt een fundamenteel probleem bloot: wie internationaal opereert, valt internationaal onder de rechter. Het Nationaal Cyber Security Centrum (NCSC) bevestigt dat beeld: Europese bedrijven en dataopslag in Europa zijn niet immuun voor niet-Europese wetgeving. De Algemene Rekenkamer waarschuwde in januari 2025 dat de Nederlandse overheid onvoldoende maatregelen neemt om soevereiniteit en gegevensbescherming te borgen in cloudcontracten. En eerdere juridische kaders zoals het Privacy Shield zijn al door het Europese Hof ongeldig verklaard. Een lot dat ook het huidige EU-VS Data Privacy Framework kan treffen.
Voor bedrijven in sectoren als vastgoed, juridische dienstverlening of financieel advies is dit bijzonder relevant. Je werkt met persoonsgegevens, contractdata, financiële informatie. De AVG stelt daar strenge eisen aan. Maar als jouw AI-tool die data via een Amerikaans bedrijf verwerkt, heb je een juridisch probleem dat geen verwerkersovereenkomst volledig oplost.
Een veelgehoord tegenargument: encryptie. Cloudproviders bieden opties zoals Bring Your Own Key (BYOK) en Hold Your Own Key (HYOK), waarbij je als klant zelf de encryptiesleutels beheert. Bij BYOK worden je sleutels echter opgeslagen in het Key Management System van de provider, waardoor de provider technisch nog steeds toegang heeft en via de CLOUD Act gedwongen kan worden om data te ontsleutelen. HYOK gaat een stap verder: je beheert de sleutels volledig buiten de cloudinfrastructuur. Voor data-opslag kan dat een effectieve beschermingslaag zijn. Maar bij AI-toepassingen ligt het anders: een taalmodel moet je data onversleuteld kunnen lezen om er iets mee te doen. Op het moment dat een prompt wordt verwerkt, is de inhoud als plaintext aanwezig in het geheugen van de server. Encryptie beschermt de data in rust en tijdens transport, maar niet tijdens verwerking.
Een ander tegenargument: de EU Data Boundary van Microsoft. Dit meerjarige programma is sinds februari 2025 volledig uitgerold en belooft contractueel dat alle opslag en verwerking voor Europese klanten binnen de EU plaatsvindt. Microsoft investeert fors in Europese datacenters en heeft aangekondigd verzoeken van buiten de EU juridisch aan te vechten. Dat zijn serieuze stappen. Maar critici, waaronder analisten en Europese cloudaanbieders, wijzen erop dat dit een contractuele belofte is die de wettelijke verplichting onder de CLOUD Act niet tenietdoet. Microsoft zelf heeft dat in de eerdergenoemde hoorzitting bevestigd. Data residency is niet hetzelfde als data-soevereiniteit.
Waarom dit probleem vaak over het hoofd wordt gezien
De reden is begrijpelijk: Amerikaanse AI-modellen leveren vaak de beste prestaties. OpenAI, Google en Anthropic lopen voorop in capaciteit en snelheid. Eén API-key, een paar regels code, en je hebt een werkend systeem met state-of-the-art resultaten. De data gaat naar Amerikaanse servers, wordt verwerkt door een Amerikaans model, en het resultaat komt terug.
Dat is technisch efficiënt. Maar het betekent dat elke prompt die je verstuurt (met klantgegevens, contractteksten, bedrijfsinformatie) verwerkt wordt binnen een Amerikaans ecosysteem. Naar onze ervaring wordt data-soevereiniteit bij veel AI-implementaties niet als standaard meegenomen in het ontwerp.
Dat geldt niet alleen voor het AI-model zelf, maar voor de hele keten eromheen. Wanneer een Amerikaans model draait op Amerikaanse cloudinfrastructuur, ontstaat op elk niveau een juridische afhankelijkheid. Dat betekent niet dat je data per definitie wordt opgevraagd. Maar het betekent wel dat elk Amerikaans bedrijf in die keten verplicht kan worden om mee te werken aan een verzoek onder de CLOUD Act, en dat die mogelijkheid zelden wordt benoemd.
Hier ligt het cruciale onderscheid: technische veiligheid is niet hetzelfde als juridische soevereiniteit.
Europese AI die écht Europees is
Er bestaat een alternatief. En het is geen concessie.
Mistral AI is een Frans AI-bedrijf dat modellen ontwikkelt die draaien op Europese infrastructuur. Het moederbedrijf is Frans en de dataverwerking van hun API vindt plaats op Europese servers. Het Franse ministerie van Defensie heeft Mistral geselecteerd voor inzet in alle legeronderdelen, specifiek vanwege de garantie dat operaties op nationale infrastructuur blijven. Banken als BNP Paribas zetten Mistral in voor documentverwerking en compliance.
Maar een Europees model is maar de helft van het verhaal. De andere helft is waar jouw data wordt verwerkt en opgeslagen.
Scaleway is een Franse cloudprovider met eigen datacenters in Parijs, Amsterdam en Warschau. Volledig in Europees eigendom, volledig onder EU-jurisdictie, en zonder datacenters of operaties in de VS. Ze draaien op hernieuwbare energie en zijn ISO 27001-gecertificeerd. Waar veel bedrijven automatisch bij AWS, Google Cloud of Azure uitkomen, biedt Scaleway een volwaardig Europees alternatief voor cloudinfrastructuur. DeltaFlow is sinds een half jaar partner in het Scaleway startup-programma.
Door Mistral en Scaleway te combineren heb je een volledige AI-stack die van model tot datacenter Europees is. Geen tussenlagen via Azure of AWS, geen juridische grijze gebieden. Data komt binnen in Europa, wordt verwerkt in Europa, en verlaat Europa niet.
De EU AI Act maakt dit urgenter
Naast de CLOUD Act speelt er nog een ontwikkeling: de Europese AI-verordening. De AI Act is sinds augustus 2024 van kracht en wordt gefaseerd ingevoerd. De eerste verplichtingen gelden al, waaronder het verbod op bepaalde AI-toepassingen en de eis tot AI-geletterdheid. De regels voor hoog-risico AI-systemen volgen vanaf augustus 2026.
Denk aan AI die wordt ingezet bij kredietbeoordeling, verzekeringen of juridische besluitvorming, en aan sectoren als vastgoed waar AI-output direct doorwerkt in financiële besluiten. Deze systemen moeten voldoen aan strenge eisen rond toezicht, documentatie en traceerbaarheid.
Een Europees AI-model en Europese hosting lossen die compliance-eisen niet automatisch op. Maar ze maken het wel eenvoudiger: transparante architectuur, volledige controle over de dataketen, en geen juridische conflicten tussen Europese en Amerikaanse wetgeving.
Hoe DeltaFlow dit anders doet
Bij DeltaFlow bouwen we AI-oplossingen op een volledig Europese stack: Mistral als AI-model, Scaleway als cloudinfrastructuur. Concreet betekent dat:
Geen CLOUD Act-risico. Er zit geen Amerikaans bedrijf in de keten dat gedwongen kan worden jouw data over te dragen. Alle verwerking draait op Scaleway's datacenters, waaronder Amsterdam. Jouw data verlaat Europa niet: niet voor verwerking, niet voor opslag, niet voor training.
AVG-compliance by design. Doordat het volledige verwerkingsproces binnen de EU blijft, van prompt tot antwoord, is er geen juridische spagaat tussen de AVG en buitenlandse wetgeving. We verwerken data alleen voor het afgesproken doel, bewaren niets langer dan nodig, en geven je volledige controle over je eigen gegevens. En doordat de hele architectuur transparant en traceerbaar is, ligt er een solide basis voor de documentatie- en toezichteisen van de EU AI Act.
Dit betekent niet dat we blind zijn voor de kwaliteit van Amerikaanse modellen. OpenAI en Anthropic leveren indrukwekkende technologie. Maar voor Nederlandse bedrijven die werken met klantdata, contracten, financiële informatie of persoonsgegevens, is de beste AI niet per se de krachtigste. Het is de AI die je kunt verantwoorden.
De vraag die je je leverancier moet stellen
De volgende keer dat iemand je een AI-oplossing aanbiedt, stel dan drie vragen:
"Welk model gebruik je, waar wordt mijn data verwerkt, en onder welke jurisdictie valt dat?"
Als het antwoord begint met OpenAI of "Azure maar dan in Europa", dan weet je dat je data onder de CLOUD Act valt. Of het nu in Amsterdam of in Virginia staat.
En als je leverancier dat antwoord niet paraat heeft, of het niet relevant vindt, is dat een belangrijk signaal over de prioriteit die zij aan data-soevereiniteit geven.
DeltaFlow AI bouwt AI-oplossingen voor Nederlandse bedrijven op een volledig Europese stack: Mistral als AI-model, Scaleway als cloudinfrastructuur. Geen CLOUD Act-risico, volledig AVG-compliant, en voorbereid op de EU AI Act. Voor bedrijven die hun data serieus nemen.
Bronnen
- U.S. Congress, "Clarifying Lawful Overseas Use of Data Act (CLOUD Act)", H.R. 4943, ondertekend 23 maart 2018.
- Europese Unie, "Verordening (EU) 2024/1689 tot vaststelling van geharmoniseerde regels betreffende artificiële intelligentie (AI-verordening)", in werking getreden 1 augustus 2024.
- U.S. Senate Committee on the Judiciary, hoorzitting "Data Storage Abroad", getuigenis Brad Smith (Microsoft), 2017.
- Algemene Rekenkamer, "Cloudbeleid en de digitale soevereiniteit van de rijksoverheid", rapport aan de Tweede Kamer.
- Nationaal Cyber Security Centrum (NCSC), adviesrapport over cloudafhankelijkheid en digitale autonomie.
- Reuters, "French defence ministry selects Mistral AI for use across armed forces", 8 januari 2026.
- BNP Paribas, persbericht "BNP Paribas and Mistral AI announce a multi-year partnership", juli 2024.
- OVHcloud/Octave Klaba, verklaringen over datavordering onder de CLOUD Act door het Franse moederbedrijf.