Nederland, word wakker: Trump eet jullie (AI-)data for breakfast
Jammer dat ik niet de mogelijkheid heb om op Frankwatching een ‘subtitel’ te publiceren. Anders had ik gekozen voor: “En Joost mag weten wat hij ermee gaat doen”. Ik ben zeker geen paniekzaaier, maar dit weet ik wel: alles wat je vandaag in een Amerikaanse cloud stopt, kan morgen op een bureau in Washington liggen. Het gaat daarbij niet om de hippe AI‑techniek achter die software, maar om de dagelijkse data die je er als organisatie in stopt. Het goede nieuws: er is een ontsnappingsroute!
Die ontsnappingsroute begint bij Sanne. Zij is HR-manager bij een Nederlandse overheidsorganisatie. Zoals zovelen vertrouwt haar organisatie al jaren op bekende platforms als Microsoft en Google – producten die draaien op een Amerikaanse cloud. Het dashboard van Sanne’s Amerikaanse Learning Management Systeem (LMS) toont keurig de voortgang, cijfers en leerprestaties van ruim 1700 medewerkers.
Wat Sanne níét ziet: al die persoonsgegevens – van competenties tot toetsresultaten – vallen juridisch onder de Stars and Stripes. Haar LMS is namelijk van Amerikaanse makelij. Zonder dat ze het beseft, levert ze dagelijks haar digitale kroonjuwelen uit. En ze is niet de enige: overheden, scholen en zorginstellingen draaien massaal op Amerikaanse infrastructuur – met alle risico’s van dien.
Sanne staat model voor alle managers die werken met AI- of SaaS-tools in Amerikaanse clouds. Haar verhaal laat zien hoe kwetsbaar onze data zijn en Trump 2.0 dat risico explosief vergroot, maar er zijn Europese alternatieven voor organisaties die wél controle willen houden over hun gegevens.
Trump 2.0 – waarom de risico’s nu exploderen
Sinds januari 2025 zetelt Donald Trump opnieuw in het Witte Huis en hij heeft zijn America First‑agenda in de hoogste versnelling gezet. Binnen zes weken voerde hij 25 % importheffingen op Europees staal en aluminium in en introduceerde hij een tarief van 10 % op vrijwel alle EU‑goederen. Nog geen maand later verklaarde hij dat “de EU in veel opzichten gemener is dan China” en dreigde hij de tarieven verder op te schroeven als Brussel niet “door de knieën” gaat. En weer wat later lijkt hij (deels) bij te draaien en temporiseert hij de aangekondigde heffingen. Het vertrouwen in de VS als betrouwbare partner neemt zienderogen af.
Die grilligheid heeft directe gevolgen voor je data. Zodra handelsconflicten escaleren, blijft voor Washington nog één machtig pressiemiddel over: extraterritoriale data‑wetgeving. De CLOUD Act en FISA §702 geven de Amerikaanse overheid al toegang tot elke byte die in een VS‑cloud staat; onder een president die handel als wapen inzet, is de stap klein om die toegang ook strategisch te gebruiken – bijvoorbeeld om Europese bedrijven in een volgend onderhandelingsoffensief extra pijn te doen.
Reflectie op Sanne: Draait haar LMS‑ of HRM‑tool op een Amerikaanse cloud, dan is haar medewerkers‑database niet alleen juridisch kwetsbaar, maar ook een potentiële onderhandelingsfiche in Trumps handelsoorlog.
AI en data: innovatie met een prijskaartje
In de geopolitieke reality‑show van 2025 is datasoevereiniteit geen luxe, maar basisvoorwaarde. Volgens McKinsey gebruikt 78 % van de bedrijven wereldwijd al AI‑toepassingen. Prima voor de productiviteit, maar er kleeft een verborgen prijs aan: jouw HR‑data wordt trainingsmateriaal voor algoritmen waar je nul grip op hebt. Zoals Apple CEO Tim Cook ooit cynisch zei: “Als je niet voor het product betaalt, bén jij het product.”
Voor Sanne is dat extra wrang. Haar LMS bevat niet alleen video’s en multiple‑choicevragen; het registreert toetsresultaten, leer‑gedrag, certificeringen en soms psychometrische testen. Stop je die gegevens in een generatieve AI‑tool van een Amerikaanse leverancier, dan kan de provider ze hergebruiken om zijn model te finetunen – óók voor je concurrent.
Reflectie op Sanne: Haar opleidingsdata is dus niet enkel lesstof, maar ook brandstof voor andermans AI
Amerikaanse wetten: de onzichtbare hand in jouw Europese data
Twee wetten regeren klip‑en‑klaar over jouw cloud: de CLOUD Act en FISA §702. Beide verplichten Amerikaanse aanbieders om data af te staan – óók als de server fysiek in Schin‑op‑Geul of Amsterdam staat. In april 2024 verlengde de Senaat §702 tot 2026 en breidde die uit: voortaan kan elk Amerikaans bedrijf worden verplicht mee te werken aan afluisterverzoeken.
Door toedoen van privacyactivist Max Schrems heeft de Europese Unie het Privacy Shield ongeldig verklaard. Dat was een afspraak tussen de EU en de VS waarin stond dat persoonsgegevens van Europeanen voldoende beschermd waren volgens de Europese regels (de AVG).
Reflectie op Sanne: Eén dagvaarding volstaat en haar LMS‑gegevens liggen in Washington – zelfs al staat de server in Amsterdam.
In de plaats daarvan is nu een nieuwe regeling gekomen: het Data Privacy Framework. Dit moet ervoor zorgen dat persoonsgegevens die naar de VS worden gestuurd, wél voldoen aan de eisen van de AVG. Schrems vatte het bondig samen: “EU‑wet vereist privacy, VS‑wet vereist surveillance – dat botst frontaal.”
Doemcijfers:
- 100 % – Amerikaanse wetgeving (CLOUD Act & FISA §702) geeft overheden toegang tot élke byte die via een VS‑platform loopt.
- 60 % – Organisaties zonder duidelijk generatief‑AI‑beleid of onwetend of het bestaat (KPMG, 2024).
- 3–5 jaar – Achterstand van Europa op veilige AI‑infrastructuur (Competitiveness Compass 2025).
Europese wetgeving: de AI Act als kans én uitdaging
De Europese AI Act is in 2024 aangenomen en wordt vanaf augustus 2025 stap voor stap handhaafbaar. De wet classificeert AI‑systemen in vier risicocategorieën: onacceptabel, hoog, beperkt en minimaal. HR‑toepassingen zoals wervingstools en LMS’en vallen al snel onder hoog risico – denk aan automatisering in beoordeling of promotiebeslissingen.
Dat betekent:
- Documentatieplicht – Toon aan welk model of platform je gebruikt en welke data erin gaat.
- Transparantie – Medewerkers moeten weten wanneer ze met AI interacteren.
- Boetes – Tot 30 mln euro of 6 % van de wereldwijde omzet bij overtreding.
Klinkt heftig? Dat is het zeker. Temeer als je weet dat die EU AI Act pas vanaf 2027 voor handhaving gaat zorgen. Tot die tijd ben je op jezelf aangewezen.
Maar ik zie ook kansen.
Sanne moet intern aan de bel trekken en duidelijk maken dat een Europees, AVG-proof LMS cruciaal is. Dat geeft vertrouwen bij de privacyfunctionaris én voorkomt paniekmigraties later. Ursula von der Leyen zegt het vaak genoeg: “In Europa staat de burger centraal, niet het marktaandeel.” En voor een HR-manager zijn die burgers je eigen medewerkers.
Reflectie op Sanne: Stapt ze nú over op een Europees LMS, dan hoeft ze straks niet hals‑over‑kop te migreren.
Alles in Nederland: zo kán het dus wel
Helemaal waterdicht bestaat niet, maar wie het risico wil beperken kiest voor datahosting in Nederland of elders in Europa. De criteria gelden voor ieder type SaaS‑systeem:
- EU‑ of NL‑datacenter
- ISO 27001 & NEN 7510 gecertificeerd
- Geen exposure aan CLOUD Act / FISA §702
- Logbestanden automatisch gewist zodra verwerking klaar is
Vergelijking: LMS‑aanbieders en datarisico
Uitgangspunt: drie simpele checkpunten — waar staat de data? Vallen we onder CLOUD Act/FISA? Zijn de voorwaarden helder? Onderstaande tabel laat in één oogopslag zien dat een groen vinkje bij serverlocatie weinig zegt wanneer de aanbieder Amerikaans is.
| Platform | Data in NL/EU | Onder FISA/Cloud | Transparant |
|---|---|---|---|
| NL/EU aanbieder LMS | ✅ | ❌ | ✅ |
| Microsoft Viva Learning | ✅ | ✅ | ❌ |
| Google Cloud Learning AI | ❌ | ✅ | ❌ |
Hetzelfde patroon zie je bij elke Amerikaanse SaaS‑oplossing – van applicant‑tracking‑systemen tot projectmanagement‑tools. De wet volgt het bedrijf, niet de server.
Populaire HR‑platforms onder de loep
Veel organisaties – ook die van Sanne – vertrouwen op geïntegreerde HR‑suites. De volgende tabel vermeldt het moederbedrijf en thuisland van enkele veelgebruikte systemen, zodat je direct ziet of jouw HR‑data onder Amerikaanse jurisdictie kan vallen.
| Platform | Bedrijf | Land |
|---|---|---|
| Workday HCM | Workday Inc. | VS |
| Oracle Fusion Cloud HCM | Oracle Cooperation | VS |
| SAP Succes Factors | SAP SE | Duitsland* |
| Cornerstone OnDemand LMS | Cornerstone | VS |
*SAP is een Duits bedrijf, al draait de SuccessFactors‑cloud operationeel wel deels op datacenters in o.a. de VS. Duitsland valt onder EU‑wetgeving, maar controleer altijd waar de data fysiek wordt gehost én welke subcontractors toegang hebben.
Naar digitale soevereiniteit: waarom dit ons allemaal aangaat
Tech is wat mij betreft geopolitiek. Als Sanne’s HR‑data eerdaags op Trumps bureau belandt, zijn haar medewerkers pionnen in een machtsspel. Voormalig eurocommissaris Margrethe Vestager zei het al: “Wie controle heeft over data, heeft controle over de toekomst.” Die toekomst is niet abstract; het is de performance‑review van je teamlead, het e‑learning‑logboek waarin staat dat een magazijnmedewerker de veiligheidsmodule níét haalde.
Reflectie op Sanne: Digitale autonomie raakt retentie, employer branding én je licentie om data te verzamelen.
Conclusie
We staan op een kruispunt. Blind doorgaan op Amerikaanse AI‑infrastructuur of kiezen voor Europese autonomie? Om deze retorische vraag te beantwoorden moet Sanne vandaag nog beginnen met een proof‑of‑concept van een EU‑gehost LMS. Stel datasoevereiniteit centraal in ál je SaaS‑contracten. En dat geldt net zo hard voor je CRM, ATS of ERP.
Mijn advies aan Sanne: pak je contracten erbij, ondervraag je leveranciers en maak van dat privacyhoofdstuk geen hoofdpijndossier.
Voor Sanne – en haar collega’s bij gemeenten, provincies en andere (semi)publieke instellingen – geldt bovendien een extra verantwoordelijkheid. Datasoevereiniteit is geen ‘nice to have’, maar een morele plicht. Juist publieke organisaties moeten het goede voorbeeld geven. Want wie het publieke belang dient, hoort ook publieke controle over data te eisen.
Over de auteur
