Amerikaans Congres eist berichten op van Europese ambtenaren via Microsoft en Google
Wat de Belgische privacy- en techgemeenschap al jaren benoemt, wordt nu bewaarheid: wie communiceert via Amerikaanse clouddiensten, communiceert onder Amerikaans toezicht.
Brussel, 17 maart 2026
Het Amerikaanse Huis van Afgevaardigden heeft op 16 maart 2026 tien grote techbedrijven (Alphabet (Google), Amazon, Apple, Meta, (Facebook, Instagram, WhatsApp), Microsoft, OpenAI, Reddit, Rumble, TikTok, xAI) formeel herinnerd aan hun verplichting om alle communicatie met Europese instellingen over te maken aan de Judiciary Committee. De brieven, ondertekend door commissievoorzitter Jim Jordan, mikken specifiek op berichten die Europese ambtenaren uitwisselden in het kader van de Digital Services Act (DSA).
De aanleiding is veelzeggend: een hoge functionaris van de Europese Commissie adviseerde zijn collega’s om over te stappen op versleutelde apps met automatisch verwijderende berichten, net omdat men vreest dat die communicatie anders in Amerikaanse handen terechtkomt. Die vrees is gegrond. Ze illustreert ook precies de bezorgdheid die privacy- en digitale-rechtenorganisaties in België en Europa al jaren uitspreken.
“Wie zijn werkmails verstuurt via Microsoft 365 of Google Workspace, schrijft op papier dat door een vreemde mogendheid kan worden opgeëist.”
De subpoena’s die nu worden afgedwongen, dateren van november 2025 en eerder. Wat de brieven toevoegen: het Congres bevestigt uitdrukkelijk dat de verplichting doorlopend van aard is: ook nieuwe berichten, ook tijdelijke berichten, ook versleutelde communicatie valt eronder, zolang die via de betrokken platformen loopt.
Wat betekent dit voor Belgische overheidsinstellingen?
Microsoft 365 is de standaard mailomgeving voor 80% van alle Belgische gemeenten, scholen, ziekenhuizen en federale overheidsdiensten. Datzelfde geldt voor Google Workspace. Beide bedrijven staan nu formeel onder een Amerikaanse wettelijke verplichting om hun interne communicatiegegevens te bewaren en desgevraagd over te dragen aan het Amerikaanse Congres.
De Europese Commissie biedt Microsoft en Google een zogenaamd “Sovereign Cloud”-product aan als geruststelling, maar dat biedt geen juridische bescherming: de moederbedrijven blijven onderworpen aan de Amerikaanse CLOUD Act, die hen verplicht toegang te verlenen tot data, ook als die fysiek in Europa is opgeslagen.
Wat is de CLOUD Act? De Clarifying Lawful Overseas Use of Data Act (2018) laat Amerikaanse autoriteiten toe om bij Amerikaanse techbedrijven data op te vragen, ongeacht waar die data fysiek is opgeslagen. Een Belgisch ziekenhuis dat mailt via Microsoft Exchange Online valt dus onder dit regime, ook als de servers in Dublin of Brussel staan.
Wat is FISA 702? Section 702 van de Foreign Intelligence Surveillance Act laat Amerikaanse inlichtingendiensten (waaronder de NSA) toe om zonder individueel bevelschrift de communicatie te onderscheppen van niet-Amerikaanse personen buiten de VS, wanneer die communicatie verloopt via Amerikaanse dienstverleners. Dit geldt dus ook voor e-mails van journalisten die via Microsoft of Google verstuurd worden, als die communicatie relevant wordt geacht voor Amerikaanse nationale veiligheidsbelangen. FISA 702 werd in 2024 verlengd tot 20 april 2026, en verlenging ervan staat momenteel ter discussie. Het vormt een van de kernbezwaren van het Europees Hof van Justitie tegen eerdere trans-Atlantische dataverdragen (Schrems I en II).
Welke executive orders zijn relevant? Executive Order 12333 (1981, meermaals uitgebreid) machtigt Amerikaanse inlichtingendiensten tot buitenlandse surveillance buiten het grondgebied van de VS, met beperkt rechterlijk toezicht. EO 14086 (2022, Biden) voerde bijkomende waarborgen in als onderdeel van het EU-US Data Privacy Framework, maar die worden door Europese privacyrechtspecialisten als onvoldoende beschouwd. De toekomst van dat kader is onzeker nu de politieke verhoudingen tussen de VS en de EU zijn gewijzigd. Onder de huidige Amerikaanse regering zijn bovendien meerdere toezichthoudende instanties afgezwakt of ontmanteld, wat de praktische uitvoering van die waarborgen verder ondermijnt.
BeLibre brengt de Belgische situatie in kaart
BeLibre is sinds begin 2025 actief als onafhankelijk initiatief dat de digitale afhankelijkheid van de Belgische publieke sector in kaart brengt. Via belibre.be/map publiceren we onderzoeksdata over welke Belgische overheidsinstellingen (gemeenten, scholen, ziekenhuizen, politiezones) hun e-mailinfrastructuur hebben uitbesteed aan Amerikaanse aanbieders. De patronen die we terugvinden, zijn geen uitzondering: ze zijn de norm.
Dit onderzoek sluit aan bij een jarenlange vraag vanuit de Belgische tech- en privacygemeenschap om digitale soevereiniteit serieus te nemen als bestuurlijk thema. De gebeurtenissen van deze week geven die vraag een nieuwe urgentie.
BeLibre vraagt actie
BeLibre roept beleidsmakers op om bij aanbestedingen voor cloud- en communicatiediensten expliciet rekening te houden met extraterritoriale juridische risico’s. Technische alternatieven bestaan: Europese en open-source platformen voor e-mail, documentbeheer en communicatie zijn beschikbaar, schaalbaar en in veel gevallen goedkoper.
Digitale soevereiniteit is geen abstracte bezorgdheid. Het is een bestuurlijke plicht.
Over BeLibre
BeLibre (belibre.be) is een Belgisch initiatief, actief sinds 2025, dat de afhankelijkheid van de publieke sector van Amerikaanse cloudinfrastructuur in kaart brengt en bewustzijn creëert rond digitale soevereiniteit.
Contactpersoon pers Jurgen Gaeremyn · jurgen@belibre.be
Bronnen
- Brieven H. Comm. on the Judiciary aan Alphabet, Amazon, Apple, Microsoft, OpenAI - 16 maart 2026 (judiciary.house.gov)
- Politico: “EU tech enforcer tells officials not to be scared by US threats” - 16 feb. 2026
- iBestuur: VS dagvaardt techreuzen om communicatie met Europese toezichthouders te overhandigen - 17 maart 2026