Amerikaanse diensten vervangen:
waarom het nu moet.

De CLOUD Act: de wet die niemand kent maar iedereen raakt

In 2018 tekende de Verenigde Staten de CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Deze wet geeft de Amerikaanse overheid het recht om elk Amerikaans bedrijf te dwingen data te overhandigen — ongeacht waar die data fysiek is opgeslagen. Microsoft servers in Dublin? Google servers in Finland? Amazon servers in Frankfurt? Het maakt niet uit. Als het een Amerikaans bedrijf is, kan de Amerikaanse overheid bij je data.

Dit is geen hypothetisch scenario. Het is federale wetgeving die actief wordt toegepast. En het conflicteert direct met de Europese AVG/GDPR, die verbiedt dat persoonsgegevens van EU-burgers zonder wettelijke basis worden overgedragen aan landen buiten de EU.

Schrems II: het Privacy Shield dat geen schild was

In 2020 vernietigde het Europese Hof van Justitie het EU-US Privacy Shield — de afspraak die het doorsturen van Europese data naar de USA legaal maakte. De reden: de USA biedt onvoldoende bescherming voor Europese persoonsgegevens vanwege hun surveillancewetgeving (FISA Section 702, Executive Order 12333). Het oordeel staat bekend als Schrems II.

De vervanger — het EU-US Data Privacy Framework van 2023 — staat op dezelfde wankele basis. Privacy-experts en juridische organisaties zoals NOYB verwachten dat ook dit framework door het Europese Hof wordt vernietigd zodra het wordt aangevochten. De fundamentele reden is onveranderd: Amerikaanse surveillancewetten geven Amerikaanse inlichtingendiensten nog steeds brede toegang tot data van niet-Amerikanen.

Wat dit betekent voor jouw bedrijf

Als je Microsoft 365 gebruikt voor e-mail, Google Analytics voor je website en Cloudflare als CDN, dan valt al je data onder de CLOUD Act. De Amerikaanse overheid kan die data opvragen zonder dat je het weet, zonder dat er een Europese rechter aan te pas komt, en zonder dat je er iets tegen kunt doen. Je Europese klanten, je bedrijfscommunicatie, je analyticsdata, je websiteverkeer — het is allemaal toegankelijk voor de Amerikaanse overheid.

Dat was al problematisch onder een stabiele Amerikaanse regering. In het huidige politieke klimaat, waarin de USA actief handelsoorlogen voert tegen bondgenoten, internationale verdragen opzegt en de binnenlandse rechtsorde onder druk zet, is het een risico dat je niet kunt negeren.

Hoe veilig is je data bij Amerikaanse big tech bedrijven werkelijk?

Los van wetgeving en geopolitiek is er een simpelere vraag: hoe goed beschermen deze bedrijven je data eigenlijk? Het trackrecord is niet geruststellend.

PRISM: de Amerikaanse overheid zat al in je data

In 2013 onthulde klokkenluider Edward Snowden dat de NSA via het PRISM-programma directe toegang had tot de servers van Google, Microsoft, Apple, Facebook en Yahoo. Geen hack, geen kwetsbaarheid — de bedrijven werkten mee met de Amerikaanse inlichtingendiensten. E-mails, zoekgeschiedenis, bestanden, chats — alles was toegankelijk. De bedrijven ontkenden directe toegang, maar de gelekte documenten lieten iets anders zien.

Dat programma is niet gestopt. De wettelijke basis (FISA Section 702) is in 2024 opnieuw verlengd en uitgebreid. De surveillance gaat door — het enige wat is veranderd is dat we het nu weten.

Microsoft: herhaaldelijk gefaald op beveiliging

In 2021 werden meer dan 30.000 organisaties gehackt via kwetsbaarheden in Microsoft Exchange Server. Chinese staatshackers (Hafnium) hadden maanden ongehinderd toegang tot e-mailservers van bedrijven, overheden en ziekenhuizen wereldwijd.

In 2023 werd het nog erger: Chinese hackers stalen een cryptografische signing key van Microsoft waarmee ze authenticatietokens konden vervalsen. Daarmee kregen ze toegang tot de e-mailaccounts van senior Amerikaanse overheidsfunctionarissen, waaronder de minister van Handel. Het Amerikaanse Cyber Safety Review Board noemde het incident "vermijdbaar" en bekritiseerde Microsoft's beveiligingscultuur als "inadequaat." Het bedrijf waar je je zakelijke e-mail aan toevertrouwt, verloor letterlijk de sleutel tot het hele systeem.

Google: tracking is het verdienmodel

In 2018 onthulde een onderzoek van Associated Press dat Google de locatie van gebruikers bleef volgen, zelfs nadat zij locatiegeschiedenis expliciet hadden uitgeschakeld. Google betaalde later honderden miljoenen dollars aan schikkingen, maar de praktijk illustreert het fundamentele probleem: Google's verdienmodel is gebaseerd op het verzamelen van zoveel mogelijk data over zoveel mogelijk mensen. Je bent niet de klant. Je bent het product.

Facebook: 87 miljoen profielen geoogst

In 2018 kwam aan het licht dat Cambridge Analytica de persoonlijke data van 87 miljoen Facebook-gebruikers had geoogst zonder hun toestemming, via een simpele quiz-app. De data werd gebruikt voor politieke microtargeting. Facebook wist ervan en deed jarenlang niets. Dit is het bedrijf wiens Meta Pixel op miljoenen websites draait en elke klik van je bezoekers registreert.

Yahoo: 3 miljard accounts gelekt

Yahoo onthulde in 2017 dat alle 3 miljard gebruikersaccounts waren gecompromitteerd in een datalek uit 2013. Elke gebruiker. Elk account. Drie miljard keer iemands naam, e-mailadres, telefoonnummer, geboortedatum en beveiligingsvragen gestolen. Yahoo verzweeg het lek jarenlang.

CrowdStrike: 8.5 miljoen computers plat

Op 19 juli 2024 legde een foutieve update van het Amerikaanse cybersecuritybedrijf CrowdStrike wereldwijd 8.5 miljoen Windows-computers plat. Vluchten werden gecanceld, ziekenhuizen konden niet opereren, banken gingen offline. Eén update van één Amerikaans bedrijf veroorzaakte de grootste IT-storing in de geschiedenis. Dit is het concentratierisico van afhankelijkheid van Amerikaanse technologie in actie.

Amerikaanse diensten op je website: wat ze zijn en waardoor je ze vervangt

De meeste websites laden tientallen externe diensten van Amerikaanse bedrijven. Elke dienst stuurt bezoekersdata (IP-adres, browser, gedrag) naar servers in de USA. Hier is een overzicht van de meest gebruikte diensten en hun Europese alternatieven.

Google Analytics → Self-hosted Matomo

Google Analytics is de meest gebruikte analytics tool ter wereld en tegelijkertijd een van de meest privacy-onvriendelijke. Het stuurt alle bezoekersdata naar Google, vereist een cookiebanner (en verliest daardoor 30-40% van je data), en is in meerdere EU-landen al als illegaal beoordeeld door privacytoezichthouders.

Alternatief: Self-hosted Matomo. Open-source, draait op je eigen server, data verlaat Europa niet en wordt niet gedeeld met derden. Wij hebben hier een uitgebreid artikel over geschreven.

Google Tag Manager → Verwijderen

Google Tag Manager is een container die het makkelijker maakt om trackingscripts te beheren. Maar de container zelf laadt ook van Google's servers, stuurt data naar Google en voegt een extra externe dependency toe aan je website. Bij de meeste MKB-websites is GTM niet nodig. Als je geen Google Analytics, geen Facebook Pixel en geen advertentie-tracking gebruikt, heb je geen tagmanager nodig. En als je die dingen wel gebruikt, heb je een groter probleem dan alleen de tagmanager.

Alternatief: Verwijderen. Als je echt een tagmanager nodig hebt: Matomo Tag Manager (onderdeel van Matomo, self-hosted) of Stape (Europese server-side tag management).

Meta Pixel (Facebook) → Verwijderen

De Meta Pixel stuurt elke paginaweergave, elke klik en elk formulier op je website naar Facebook's servers in de USA. Facebook gebruikt die data om je bezoekers te profileren, te herkennen op andere websites en gerichte advertenties te tonen. Het is een van de meest invasieve trackingscripts die bestaan. Het vereist expliciete toestemming van je bezoekers en zonder die toestemming is het illegaal onder de AVG.

Alternatief: Verwijderen. Als je Facebook advertenties draait, kun je Conversions API server-side gebruiken (data gaat niet via de browser van je bezoeker). Maar eerlijk: als je geen Facebook ads draait, hoort de Meta Pixel niet op je website.

Google Fonts CDN → Self-hosted fonts

Als je website fonts laadt van fonts.googleapis.com, stuurt de browser van elke bezoeker een verzoek naar Google's servers. Google ontvangt daarmee het IP-adres, de browser en de exacte pagina die bezocht wordt van elke bezoeker op je website. In 2022 oordeelde een Duitse rechter (LG München, Az. 3 O 17493/20) dat het laden van Google Fonts zonder toestemming een schending van de AVG is.

Alternatief: Self-hosting. Download de fonts en plaats ze op je eigen server. Dezelfde fonts, geen externe verzoeken, geen data naar Google. Het kost een developer 15 minuten om dit in te stellen. Er is geen enkele reden om Google Fonts via het CDN te laden.

Cloudflare → Europese CDN of directe hosting

Cloudflare is een Amerikaans bedrijf dat als reverse proxy functioneert: al het verkeer naar je website gaat eerst door Cloudflare's servers voordat het je eigen server bereikt. Dat betekent dat Cloudflare elk verzoek van elke bezoeker ziet, inclusief versleuteld HTTPS-verkeer (Cloudflare ontsleutelt en herversleutelt het). Je bezoekers verbinden niet met jouw server maar met een Amerikaans bedrijf.

Alternatief: BunnyCDN (Slovenië), KeyCDN (Zwitserland), of simpelweg geen CDN als je server snel genoeg is. Een goed geconfigureerde Europese server met LiteSpeed caching is voor de meeste MKB-websites snel genoeg zonder CDN. CDN's zijn ontworpen voor websites met wereldwijd verkeer. Als 95% van je bezoekers uit Nederland komt, voegt een CDN weinig toe behalve een extra partij die je data ziet.

Google reCAPTCHA → Europese alternatieven

Google reCAPTCHA wordt op miljoenen websites gebruikt om spam te voorkomen. Maar het laadt Google's JavaScript op elke pagina (ook pagina's zonder formulier), stuurt bezoekersdata naar Google en vertraagt je website. Het is tracking vermomd als security.

Alternatief: hCaptcha (privacyvriendelijker), Friendly Captcha (Duits, volledig AVG-compliant), of server-side honeypot technieken die geen JavaScript laden en geen data naar derden sturen.