<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>Post-Kwantumcryptografie on Arpokrat</title>
    <link>https://arpokrat.com/nl/blog/tags/post-kwantumcryptografie/</link>
    <description>Recent content in Post-Kwantumcryptografie on Arpokrat</description>
    <generator>Hugo -- gohugo.io</generator><language>nl</language><lastBuildDate>Fri, 19 Jun 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://arpokrat.com/nl/blog/tags/post-kwantumcryptografie/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Data Act vs CLOUD Act: wie heeft echt de controle over uw cloudgegevens?</title>
      <link>https://arpokrat.com/nl/blog/data-act-vs-cloud-act-digital-sovereignty/</link>
      <pubDate>Fri, 19 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://arpokrat.com/nl/blog/data-act-vs-cloud-act-digital-sovereignty/</guid>
      <description>&lt;p&gt;Jarenlang draaide de wereld op een eenvoudige aanname: gegevens hebben een fysieke verblijfplaats. Als ze zich op een server in Dublin bevonden, vielen ze onder het Ierse en Europese recht. Die aanname stortte in 2018 in elkaar, toen de Verenigde Staten de CLOUD Act aannamen — een wet die Amerikaanse autoriteiten toegang geeft tot gegevens die worden beheerd door Amerikaanse bedrijven, ongeacht waar die gegevens fysiek in de wereld zijn opgeslagen. Enkele jaren later reageerde Brussel met zijn eigen beschermingsmaatregel: de Data Act, inmiddels volledig van toepassing, die de extraterritoriale toegang van autoriteiten uit derde landen tot in de Europese Unie opgeslagen gegevens tracht te beperken.&lt;/p&gt;
&lt;p&gt;Hier leest u wat deze twee teksten werkelijk bepalen, waar ze met elkaar in botsing komen, en waarom de enige echt robuuste bescherming tegen dit conflict technische ontoegankelijkheid blijft.&lt;/p&gt;
&lt;h2 id=&#34;de-amerikaanse-cloud-act-toegang-op-basis-van-controle-niet-van-locatie&#34;&gt;De Amerikaanse CLOUD Act: toegang op basis van controle, niet van locatie&lt;/h2&gt;
&lt;p&gt;De &lt;strong&gt;CLOUD Act&lt;/strong&gt; (&lt;em&gt;Clarifying Lawful Overseas Use of Data Act&lt;/em&gt;), aangenomen in maart 2018, wijzigde het Amerikaanse recht door &lt;strong&gt;18 U.S. Code § 2713&lt;/strong&gt; toe te voegen. Deze bepaling verplicht elke aanbieder van elektronische communicatiediensten of diensten voor externe computerverwerking om de inhoud van een communicatie of enige bijbehorende registratie te bewaren, veilig te stellen of openbaar te maken, wanneer die gegevens in zijn bezit zijn, onder zijn hoede staan of onder zijn controle vallen, &lt;strong&gt;ongeacht of die gegevens zich binnen of buiten de Verenigde Staten bevinden&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Het is precies deze laatste clausule die alles verandert. Het gebruikte criterium is niet langer de fysieke locatie van de server, maar de controle die de moedermaatschappij over haar dochterondernemingen uitoefent. Een Amerikaans bedrijf dat datacenters in Europa exploiteert, blijft dus onderworpen aan Amerikaanse vorderingen, zelfs voor gegevens die volledig op Europees grondgebied zijn opgeslagen.&lt;/p&gt;
&lt;h2 id=&#34;de-europese-data-act-een-juridische-barrière-tegen-extraterritoriale-toegang&#34;&gt;De Europese Data Act: een juridische barrière tegen extraterritoriale toegang&lt;/h2&gt;
&lt;p&gt;De &lt;strong&gt;Verordening (EU) 2023/2854&lt;/strong&gt;, ook wel de Data Act genaamd, trad op 11 januari 2024 in werking en is volledig van toepassing sinds 12 september 2025, waarbij bepaalde bepalingen gefaseerd worden ingevoerd tot 2026 en 2027. &lt;strong&gt;Artikel 32&lt;/strong&gt; regelt rechtstreeks de kwestie van internationale overheidstoegang tot gegevens.&lt;/p&gt;
&lt;p&gt;De tekst stelt een duidelijke regel vast: elke beslissing of elk vonnis van een rechtbank of bestuursorgaan van een derde land die een aanbieder van gegevensverwerkingsdiensten verplicht niet-persoonsgebonden gegevens die in de Europese Unie worden bewaard over te dragen of toegankelijk te maken, &lt;strong&gt;is uitsluitend erkend en uitvoerbaar als zij is gebaseerd op een internationale overeenkomst&lt;/strong&gt;, zoals een verdrag voor wederzijdse rechtshulp (MLA), dat van kracht is tussen het verzoekende land en de Unie, of tussen dat land en de betrokken lidstaat.&lt;/p&gt;
&lt;p&gt;Bij ontstentenis van een dergelijke overeenkomst voorziet artikel 32 in een tweede weg, maar die is strikt begrensd: de buitenlandse beslissing kan alleen ten uitvoer worden gelegd als het rechtsstelsel van het derde land vereist dat de aanvraag is gemotiveerd, evenredig is en voldoende specifiek is — bijvoorbeeld door een duidelijk verband te leggen met specifieke personen of strafbare feiten — en als het gemotiveerde bezwaar van de geadresseerde kan worden voorgelegd aan een bevoegde rechter in dat derde land.&lt;/p&gt;
&lt;h2 id=&#34;een-rechtstreekse-juridische-botsing&#34;&gt;Een rechtstreekse juridische botsing&lt;/h2&gt;
&lt;p&gt;Het probleem is onmiddellijk duidelijk: de CLOUD Act eist openbaarmaking op basis van de controle die de moedermaatschappij uitoefent, zonder een evenredigheidsvoorwaarde die vergelijkbaar is met die van het Europese recht. De Data Act maakt de erkenning van een dergelijk verzoek daarentegen afhankelijk van het bestaan van een internationale overeenkomst of van specifieke procedurele waarborgen. Een Amerikaans bedrijf dat in Europa actief is en door een Amerikaanse autoriteit wordt gelast om in de Unie opgeslagen gegevens over te dragen, bevindt zich dus gevangen tussen twee tegenstrijdige wettelijke verplichtingen: voldoen aan het Amerikaanse bevel en daarmee het Unierecht schenden, of de Data Act naleven en zich blootstellen aan de gevolgen van een weigering in de Verenigde Staten.&lt;/p&gt;
&lt;p&gt;Deze spanning is niet theoretisch. Ze is al gedocumenteerd door het Hof van Justitie van de Europese Unie (CJEU) in twee baanbrekende uitspraken: &lt;strong&gt;Schrems I&lt;/strong&gt; (2015) en &lt;strong&gt;Schrems II&lt;/strong&gt; (2020). In het arrest Schrems II oordeelde het CJEU dat de Amerikaanse surveillance op grond van &lt;strong&gt;Sectie 702 van FISA&lt;/strong&gt; (&lt;em&gt;Foreign Intelligence Surveillance Act&lt;/em&gt;) en &lt;strong&gt;Executive Order 12333&lt;/strong&gt; niet voldoet aan de minimumwaarborgen die het Unierecht stelt op grond van het evenredigheidsbeginsel, en derhalve niet kan worden geacht beperkt te zijn tot hetgeen strikt noodzakelijk is. Het Hof wees er ook op dat er voor betrokkenen in de Unie geen effectieve rechterlijke rechtsmiddelen beschikbaar zijn, in strijd met artikel 47 van het Handvest van de grondrechten. Deze uitspraak vernietigde het Privacy Shield-kader, dat tot dan toe de gegevensoverdrachten tussen de EU en de Verenigde Staten regelde.&lt;/p&gt;
&lt;h2 id=&#34;het-structurele-risico-harvest-now-decrypt-later&#34;&gt;Het structurele risico: Harvest Now, Decrypt Later&lt;/h2&gt;
&lt;p&gt;Naast het jurisdictieconflict hangt er een sluipende dreiging boven gegevens die worden gehost op infrastructuur die onder Amerikaans recht valt: de strategie die bekend staat als &lt;a href=&#34;https://arpokrat.com/nl/blog/harvest-now-decrypt-later-hndl-zero-knowledge/&#34;&gt;&lt;strong&gt;Harvest Now, Decrypt Later&lt;/strong&gt;&lt;/a&gt;
 (HNDL). Het principe houdt in dat een inlichtingendienst of vijandige staatsactor vandaag al versleutelde gegevens onderschept en opslaat, in afwachting van voldoende kwantumberekenvermogen om die in de toekomst te ontsleutelen.&lt;/p&gt;
&lt;p&gt;Deze strategie maakt elke langdurige afhankelijkheid van een Amerikaanse cloudinfrastructuur tot een uitgestelde beveiligingsschuld: wat vandaag vertrouwelijk is, kan over tien of vijftien jaar leesbaar worden, zonder dat de aanvaller verdere actie hoeft te ondernemen — enkel tijd en geduld.&lt;/p&gt;
&lt;h2 id=&#34;waarom-alleen-technische-ontoegankelijkheid-een-echte-garantie-biedt&#34;&gt;Waarom alleen technische ontoegankelijkheid een echte garantie biedt&lt;/h2&gt;
&lt;p&gt;De juridische analyse convergeert naar een conclusie die door veel compliance-experts wordt gedeeld: hoe solide het wettelijke kader van de Data Act ook is, het blijft een tekst die door geopolitieke machtsverhoudingen en diplomatieke druk kan worden omzeild, vertraagd of herinterpreteerd. De enige bescherming die niet afhankelijk is van toekomstige onderhandelingen is &lt;strong&gt;technische onuitvoerbaarheid&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Een &lt;strong&gt;zero knowledge&lt;/strong&gt;-architectuur, waarbij de dienstverlener nooit de beschikking heeft over de ontsleutelingssleutels en er ook nooit voogdij over heeft, maakt een vordering materieel onwerkzaam. Men kan niet worden gedwongen af te geven wat men nooit in bezit heeft gehad.&lt;/p&gt;
&lt;p&gt;Dit is de logica die ecosystemen zoals &lt;strong&gt;Arpokrat&lt;/strong&gt; structureert:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Jurisdictionele neutralisering&lt;/strong&gt;: de infrastructuur wordt gehost in Zwitserland, onder het regime van de federale wet op de gegevensbescherming (LPD/FADP), buiten het directe toepassingsgebied van de extraterritorialiteit van de CLOUD Act&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Geen bewaarplicht&lt;/strong&gt;: de zero knowledge-architectuur ontneemt de dienstverlener elke mogelijkheid om sleutels of inhoud af te geven die hij nooit bezit&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Vermindering van de identiteitsvoetafdruk&lt;/strong&gt;: door de verplichting tot registratie via telefoonnummer of e-mailadres te elimineren — identifiers die door surveillance op grond van Sectie 702 van FISA gemakkelijk kunnen worden gevolgd — houdt de gebruiker op een identificeerbaar abonnee te zijn en wordt hij een anonieme cryptografische sleutel&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;de-bewakingsketen-stopt-niet-bij-berichtversleuteling&#34;&gt;De bewakingsketen stopt niet bij berichtversleuteling&lt;/h2&gt;
&lt;p&gt;Een punt dat in compliance-analyses vaak wordt onderschat: het is niet voldoende om de inhoud van een communicatie te versleutelen als het onderliggende besturingssysteem — Android of iOS — metadata of telemetrie op kernelniveau blijft vastleggen en naar servers stuurt die onder de Amerikaanse jurisdictie vallen. De bescherming van vertrouwelijkheid vereist een volledige sluiting van de bewakingsketen, van de inhoud tot de hardware-infrastructuur zelf.&lt;/p&gt;
&lt;p&gt;Dat is waarom digitale soevereiniteit ook reflectie vereist over het gebruikte besturingssysteem, niet alleen over berichtenapps. Ontgegoogelde systemen, waarbij modules zoals Bluetooth of GNSS-geolocatie rechtstreeks op kernelniveau kunnen worden uitgeschakeld, elimineren fysieke aanvalsvectoren die geen enkele applicatieversleuteling kan compenseren.&lt;/p&gt;
&lt;h2 id=&#34;post-kwantumcryptografie-een-horizon-die-al-in-zicht-is&#34;&gt;Post-kwantumcryptografie: een horizon die al in zicht is&lt;/h2&gt;
&lt;p&gt;In het licht van de dreiging die de HNDL-strategie vormt, wordt de adoptie van post-kwantumcryptografiestandaarden (PQC) een noodzaak voor iedereen die de vertrouwelijkheid van gevoelige gegevens op de lange termijn wil waarborgen — of het nu gaat om bedrijfsgeheimen, professionele correspondentie of gezondheidsgegevens. Versleuteling die vandaag robuust wordt geacht op basis van klassieke standaarden, biedt geen garantie dat zij bestand zal zijn tegen de kwantumberekencapaciteiten die in de komende vijftien jaar worden verwacht.&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;Het conflict tussen de Data Act en de CLOUD Act illustreert een bredere werkelijkheid: digitale soevereiniteit kan niet langer uitsluitend worden gebouwd op wetteksten, hoe solide die ook zijn. Het vereist een volledige sluiting van de bewakingsketen op elk niveau — van het versleutelingsprotocol tot de hostingjurisdictie, inclusief het besturingssysteem zelf. Het is deze gelaagde aanpak — in plaats van vertrouwen dat op één enkel regelgevend kader berust — die vandaag een echte digitale soevereiniteit door ontwerp definieert.&lt;/p&gt;
</description>
    </item>
  </channel>
</rss>