Rond de Amerikaanse CLOUD Act bestaat in Europa veel onrust. De wet wordt regelmatig neergezet als een blanco cheque waarmee de Amerikaanse overheid wereldwijd Europese data zou kunnen opeisen, en als het einde van Europese dataprivacy. Dat beeld zet Nederlandse overheidsorganisaties op het verkeerde been: keuzes over cloudinfrastructuur worden zo gedreven door krantenkoppen en salespitches, en niet door een gedegen risicoanalyse. Terwijl de juridische werkelijkheid een stuk smaller is dan de mythe doet vermoeden, en hyperscalers als Microsoft, AWS en Google verantwoord ingezet kunnen worden voor overheidswerk, mits de juiste juridische, organisatorische en technische waarborgen op hun plek staan.
Dit whitepaper ontrafelt de vier hardnekkigste mythes rond de CLOUD Act en laat zien hoe de wet zich werkelijk verhoudt tot de AVG, de Baseline Informatiebeveiliging Overheid (BIO2) en het rijksbrede cloudbeleid. Aan de hand van transparantiecijfers van de grote providers, de feitelijke procedure bij een opsporingsverzoek en concrete waarborgen als versleuteling, EU-datalokalisatie, Standard Contractual Clauses en zero standing access krijgen beleidsmakers, CIO's, CISO's, privacyfunctionarissen en inkopers praktische handvatten om cloudrisico's nuchter en op feiten gebaseerd te beheersen.