Namen van Nederlandse ambtenaren zijn door Microsoft doorgespeeld aan de Amerikaanse overheid, aldus Vrij Nederland onlangs. Deze personen werken aan handhaving en beleid van de Digital Services Act. Veel ophef en ik hoor veel CLOUD Act verwijzingen. Maar dat klopt niet.
Het bericht sluit aan op eerdere berichten dat de VS sancties overwegen tegen personen die de VS onwelgevallige wetgeving maken of ondersteunen. Logisch dat je dan wil weten wie het zijn: zo kun je hen inreisvisa naar de VS weigeren bijvoorbeeld. Of hun bankrekening/creditcard blokkeren.
Maar hoe komt Microsoft aan de gegevens? De wuifverwijzingen naar de CLOUD Act wekken de indruk dat Microsoft in de accounts van allerlei partijen heeft zitten grasduinen en daar NAW-gegevens uit kon vissen. Maar nergens lees ik dat dat echt is gebeurd. “Dit specifieke verzoek betrof gegevens van Microsoft, geen klantgegevens“, claimt het bedrijf bijvoorbeeld in een reactie tegen Tweakers dat eerst ook het over CLOUD Act verzoeken had.
Wat er precies is gedeeld, is eigen data van Microsoft. Het bedrijf verleent medewerking aan een onderzoek van het Huis van Afgevaardigden over buitenlandse inmenging in Amerikaanse media zoals X. Daarbij geeft men zaken af zoals brieven met Europese instanties over de DSA, en dáár staan dan namen van ambtenaren in. (Waarom die niet zijn weggelakt, weet ik niet.)
Arnoud
Als het inderdaad gaat om informatie ‘van’ Microsoft zelf, zoals jouw voorbeeld, dan wordt de soep inderdaad heel veel minder heet gegeten. Het zou dan wel zo handig zijn, t.b.v. beantwoording van vragen die nu bij het bestuur van elke organisatie wordt gesteld aan ons over of we deze week of pas volgende week gaan migreren, als MS dit dan ook en officieel en heel expliciet zegt ipv. als vage bijzin tegen een journalist..
De radiostilte zal wel bewust zijn vanwege de politiek in het thuisland, maar daar gaan ze hier commercieel last van krijgen.
Welnee. Mensen mopperen wat op Linkedin en Bluesky, maar niemand zegt z’n contract met MS op want aan je raad van bestuur krijg je de kosten voor migratie naar Euro-Office of Office EU nooit geaccepteerd. De nadelen zijn concreet en direct, de voordelen abstract en onzeker. Geen businesscase.
Zijn logfiles “eigen data” als in “we zien die login die site bezoeken in ONZE proxy logs”? Of logins op ons platform zijn van ons? Waar trekken zij de grens eigen/klant?
Da’s een lastige discussie, maar hier ging het om mails en formele brieven die Microsoft stuurde aan en ontving van die ambtenaren. Zeg maar de mailbox van de government relations manager van Microsoft. (Als ik het goed zie, maar nog geen verduidelijking van wie dan ook.)
Maar op welke (GDPR) grond worden deze namen dan gedeeld met de Amerikaanse overheid? Als het een parlementair onderzoek betreft zal er wel een wettelijke verplichting achter zitten.
Nu ben ik blij dat we in de EU een GDPR hebben die verdere verwerking van persoonsgegevens sterk beperkt. Een EU parlement had de namen niet mogen delen, terwijl dat in de VS gewoon mag en gebeurt.
Ik weet niet of de GDPR van toepassing is. De ambtenaar stuurde een brief naar een Microsoft-medewerker in de VS. Die uitvoer van diens naam en mailadres mag, de VS is adequaat. Dit valt onder uitvoering publieke taak. Dan zijn die gegevens in de VS, en vervolgens krijgt MS een bevel van een bevoegde overheid (het Congres, in haar onderzoeksrol) om die brief af te geven. Hoe precies moet een Amerikaans bedrijf onder een Amerikaans bevel met data in de VS rekening houden met Europese wetgeving?
Waarom zou de GDPR niet van toepassing zijn op Microsoft? Microsoft houdt kantoor in de EU. Deze mails hebben een duidelijke band met de EU en EU-burgers. Ik zou de stelling willen verdedigen dat EU-ingezetenen het recht hebben om Microsoft aan de bepalingen van de GDPR te houden voor zover het gaat om verwerking van hun persoonsgegevens.
Ik doelde specifiek op de verwerking “afgeven van een mail ontvangen van een EU-ambtenaar aan het US Congress, door een in Amerika zittend Microsoft-medewerker”? Ik zie de link met Europa niet, nadat de mail naar de VS is gegaan.
De afgifte aan het Huis is een wettelijke verplichting (en mag onder de GDPR). Maar ik verwacht wel dat ik een email die ik naar een in EUropa gevestigd bedrijf stuur naar EU wetgeving behandeld wordt. Waarom zou het forwarden naar een collega in de VS een verschil mogen maken?
De link met de EU voor Microsoft Corp is dat Microsoft Corp zich heeft verbonden aan het DPF.
Als data vogelvrij zijn wanneer ze eenmaal in de VS zijn dan is dat adequaatheidsbesluit natuurlijk niets waard (voor zover het uberhaupt nog iets waard was).
Nu is het wel zo dat onder die principes eigenlijk van alles mag als het om dit soort dingen gaat (DPF principles I(5)), maar zeggen dat er helemaal geen band is met de EU/GDPR maar tegelijkertijd zeggen dat exporteren mag onder het adequaatheidsbesluit lijkt me niet juist.
Ik lees wel hierboven ook dat de initiële mail al naar een medewerker in de VS ging – in dat geval lijkt die band met de EU er inderdaad minder te zijn, maar dan is dat adequaatheidsbesluit ook niet relevant verder.
Als ik mail naar jane@walmart.us dan heeft Europese wetgeving toch niets te maken met wat Walmart vervolgens met die email doet? Zeker niet als Walmart in de VS gewoon een valide verzoek krijgt van het congress om die mail te overhandigen.
Waarom zou dat voor Microsoft anders zijn?
Waarom staat er dat de VS sancties “overwegen”? Dat is toch allang gebeurd?
Mbt DSA: https://nos.nl/artikel/2595830-uitzonderlijke-maatregel-van-vs-oud-eu-commissaris-mag-land-niet-meer-in En ICC: https://www.theguardian.com/law/2026/feb/18/international-criminal-court-icc-judges-trump-sanctions
Tegen welke “personen die de VS onwelgevallige wetgeving maken of ondersteunen” zijn sancties uitgevaardigd? Afgezien van Thierry Breton niemand, bij mijn weten. Het ICC staat hier los van.
Dag Arnoud,
Ik kan dat niet helemaal rijmen; mijn vraag is: waarom staat er dat de vs sancties ‘overwegen’? Dat is toch allang gebeurd.
Vervolgens zeg je; ja je hebt gelijk bij Thierry Breton.
Bedoel je dan te zeggen dat ‘overwegen’ inderdaad een misplaatste term is?
Mbt tot je vraag: dit zijn de eerste drie zinnen uit het NOS artikel:
“Een voormalig Eurocommissaris en vier Europese activisten van non-profitorganisaties die zich inzetten tegen desinformatie hebben een Amerikaans inreisverbod opgelegd gekregen. Dat betekent dat ze de VS niet meer in mogen.
De regering-Trump beschuldigt hen ervan Amerikaanse socialemediaplatformen te censureren.”
Uit NOS artikel: De Amerikaanse minister van Buitenlandse Zaken Rubio noemde de vijf niet bij naam. Wel zei hij dat ze een inreisverbod opgelegd hebben gekregen omdat ze “georganiseerde pogingen hebben ondernomen om Amerikaanse platforms te dwingen Amerikaanse standpunten die zij afwijzen te censureren, te devalueren en te onderdrukken.”
ICC staat er volgens mij niet los van. Die 11 mensen bij ICC die ook sancties kregen opgelegd vallen ook onder “personen die de VS onwelgevallige wetgeving maken of ondersteunen” –> zij ondersteunen het internationaal recht wat onwelgevallig is voor de VS, vandaar dat zij sancties oplegden tegen deze mensen.