Close
Close
Linkedin
Close
Close

Kan de US zomaar bij Msafe data?

Uw data staat bij Msafe op Microsoft Azure in Nederland, met Microsoft Ireland als contractpartij. Toch horen we vaak de vraag: kan Amerikaanse wetgeving, zoals de U.S. CLOUD Act, invloed hebben op de soevereiniteit van klantdata? In dit artikel leggen we helder uit wat de VS wel en niet kan afdwingen, waarom data‑locatie niet hetzelfde is als jurisdictie, en hoe vaak dit in de praktijk voorkomt. We laten ook zien welke maatregelen Msafe inzet om risico’s te minimaliseren: EU‑hosting, client‑side/end‑to‑end encryptie, strikte toegang met MFA en policies, en volledige audit trails. Zodat u veilig kunt delen én aantoonbaar compliant blijft.
Kan de US zomaar bij Msafe data

Kan de US zomaar bij Msafe data? We krijgen regelmatig (terecht) vragen over datasoevereiniteit: als de software van Msafe draait op Microsoft Azure, kan de VS dan bij mijn data, ook als die in Nederland staat?

In dit artikel leggen we dit helder uit. De VS kan niet “zomaar” bij uw data, en de praktische kans op een scenario waarin dit speelt is zeer laag. Er bestaat wel een rest-risico dat samenhangt met jurisdictie op de cloudprovider (niet met de locatie van de servers), en daarom nemen we aanvullende maatregelen om dit risico zo klein mogelijk te maken.

Msafe wordt gehost in Nederland op Microsoft‑infrastructuur binnen Microsoft Azure.

Msafe Secure File Transfer is EU‑gehost, gebouwd in Nederland, met sterke encryptie (AES‑256), strikte toegangscontrole en een volledig auditspoor.

Amerikaanse wetgeving zoals de U.S. CLOUD Act kan in sommige gevallen providers verplichten data te overhandigen die onder hun “control” valt, ongeacht waar die data staat.

Dit is geen bulk‑toegang of “master key”. Het vereist een juridisch proces en Microsoft benadrukt dat de CLOUD Act geen automatische of onbeperkte toegang creëert.

Nederlandse analyses (NCSC) beoordelen het risico op CLOUD‑Act disclosure van EU‑data als (zeer) laag, gebaseerd op transparency‑rapportage (Microsoft: 12 disclosures van “non‑US enterprise content data” sinds 2018).

Waarom deze vraag bestaat (en waarom het goed is dat u hem stelt)

“Data in Nederland” (data residency) betekent: de opslaglocatie is NL/EU. Dat is belangrijk en verkleint veel risico’s.

Maar datasoevereiniteit gaat óók over: welke wetgeving kan een partij met toegang tot de infrastructuur dwingen om data te verstrekken?

Omdat Microsoft een Amerikaanse corporate groep is, komt al snel de vraag naar boven: kan de VS via wetgeving druk uitoefenen op Microsoft, ook als de servers in Europa staan?

Die vraag is reëel en precies daarom kiezen wij voor een architectuur en beleid dat plain‑text exposure minimaliseert, toegang strikt controleert en alles aantoonbaar maakt.

Wat mag de VS juridisch doen?

De kern van de U.S. CLOUD Act (18 U.S.C. § 2713) is dat een provider verplicht kan worden om data te bewaren/overhandigen die onder diens “possession, custody, or control” valt, ongeacht of die data binnen of buiten de VS staat.

Belangrijk: dit is geen “vrije toegang tot Europese datacenters”. Het gaat om het afdwingen van medewerking via een juridische vordering.

Geen “bulk toegang” en geen automatische toegang

Microsoft publiceert zelf uitleg waarin het expliciet stelt dat de CLOUD Act geen onbegrensde, bulk of automatische toegang biedt; Amerikaanse opsporing moet voldoen aan strikte wettelijke vereisten.

EU‑regels beperken “directe” afdwingbaarheid

Vanuit EU‑perspectief is ook relevant: Artikel 48 GDPR. De EDPB‑richtsnoeren leggen uit dat uitspraken/besluiten van autoriteiten uit derde landen niet automatisch afdwingbaar zijn in de EU.

Wat betekent dit concreet voor Msafe‑klanten?

Onze software draait op een Nederlandse server van Microsoft. Dit datacenter op Schiphol is gecertificeerd en voldoet aan alle EU regels.

Msafe Secure File Transfer is ontworpen als een gecontroleerde, auditable bestandslaag:

  • Sterke encryptie (AES‑256) en gedetailleerde toegangscontrole.
  • Bestanden worden client‑side versleuteld vóór upload/verzending (dus al vóórdat ze de cloud in gaan).
  • Encryptiesleutels zijn alleen toegankelijk voor geautoriseerde gebruikers.
  • Toegang kan worden afgedwongen met 2FA/MFA en policies zoals automatische expiry en revocation.
  • Alle acties zijn volledig traceerbaar via een audit trail (uploads/downloads/shares/deletions, etc.) en exporteerbaar voor compliance.

Waarom dit geruststelt: zelfs als een derde partij ooit toegang tot opgeslagen data probeert af te dwingen, is het verschil tussen “data in plain text” en “data die al client‑side versleuteld is” enorm.

Encryptie is geen marketingterm; het is risicobeperking.

Hoe borgen we dit organisatorisch?

Msafe is ISO 27001:2022 gecertificeerd (audit door DEKRA).

Dat betekent onder andere: structurele risicoanalyse, gecontroleerde processen, security‑beleid en continue verbetering.

Hoe groot is het risico in de praktijk?

Het is eerlijk om te zeggen: een theoretische mogelijkheid is niet hetzelfde als een waarschijnlijk scenario.

Een relevante (Nederlandse) analyse van het NCSC concludeert dat het risico op CLOUD‑Act disclosure van EU‑data (zeer) laag lijkt, mede gebaseerd op transparency reports. In dat memo staat dat Microsoft sinds de CLOUD Act in 2018 “non‑US enterprise content data” in dit kader 12 keer disclosed zou hebben.

Daarnaast garandeert Microsoft het volgende:

Dat gebruikers/klanten worden vooraf geïnformeerd wanneer data wordt opgevraagd, tenzij dat wettelijk verboden is.

Wat kunt u van Msafe verwachten?

Wij willen dat “datasoevereiniteit” voor klanten geen vaag begrip is, maar iets dat je kunt toetsen en aantonen. Wij zij daarom transparant over de hosting in Nederland/EU. Hoe onze encryptie, Multy Factor Autentication en audittrails werken.

FAQ

Kan de VS “zomaar” bij mijn data omdat Msafe op Azure draait?

Nee. Er is geen “directe meekijk‑knop”. Toegang vereist een juridisch proces. De CLOUD Act gaat over disclosure via provider‑control, niet over bulk of automatische toegang.

Is “data in Nederland” een garantie tegen jurisdictie‑risico?

Het is een hele sterke basis (residency), maar jurisdictie gaat over wetgeving en control. Daarom combineren we EU‑hosting met encryptie, access control en auditability.

Wat als Microsoft support nodig heeft?

Microsoft heeft mechanismen zoals Customer Lockbox (in Azure) waarmee toegang tot customer data in uitzonderlijke support‑situaties expliciet kan worden goed- of afgekeurd (met logging).

Wat is jullie belangrijkste technische mitigatie?

Dat bestanden client‑side worden versleuteld vóór upload/verzending en dat toegang streng wordt gecontroleerd (MFA/2FA, expiry/revoke, policies) met volledige audit trails.

Kan de US zomaar bij Msafe?

Msafe‑klanten hoeven niet bang te zijn dat “de VS zomaar bij uw data kan” omdat Msafe in Azure in Nederland draait.

Ja, Amerikaanse wetgeving zoals de CLOUD Act bestaat en is relevant op hoofdlijnen.

Maar: het is geen bulk‑toegang, de praktische kans is zeer laag volgens Nederlandse analyses, en Msafe’s beveiligingsmodel (EU‑hosting + client‑side/E2E encryptie + strikte toegang + audit trails + ISO‑governance) is juist ontworpen om soevereiniteitsrisico’s te minimaliseren.

Share:

More Posts

Complexity Kills Compliance
Blog

Complexity Kills Compliance

Compliance gaat zelden mis omdat organisaties geen beleid hebben. Het gaat mis omdat beleid in de praktijk te ingewikkeld wordt. Zodra medewerkers moeten werken met omslachtige processen, extra stappen, losse portals en onduidelijke uitzonderingen, zoeken ze een snellere route. En precies daar begint het probleem. Wat op papier veilig en compliant lijkt, verandert in de dagelijkse operatie al snel in schaduw-IT, workarounds en onzichtbare risico’s.

Read More »
4 mei 2026
Hoe voldoen bedrijven AVG richtlijnen
Blog

Hoe voldoen bedrijven AVG richtlijnen? En waarom secure file transfer daarin essentieel is

Om aan AVG richtlijnen te voldoen is een privacyverklaring of een beveiligde tool niet voldoende. Bedrijven moeten persoonsgegevens rechtmatig verwerken, privacyrechten respecteren, passende beveiligingsmaatregelen nemen, datalekken beheersen en kunnen aantonen dat zij hun processen op orde hebben. De Autoriteit Persoonsgegevens noemt onder meer grondslagen, privacyrechten, beveiliging, DPIA’s in risicovolle situaties en de verantwoordingsplicht als kernonderdelen van AVG-naleving. 

Read More »
20 april 2026
bewijsbare-compliance-zonder-complexiteit-hennie-jansen
Blog

Bewijsbare compliance zonder complexiteit: interview met Hennie Jansen, CCO van Msafe

Aansluitend op onze Compliance Summit heeft ITinsight een interview afgenomen met Hennie Jansen, de CCO van Msafe. Het thema is bewijsbare compliance zonder complexiteit. Hennie Jansen geeft aan dat het geen slogan is. “Het is een manier om security, compliance en business dichter bij elkaar te brengen. En organisaties die dat in 2026 goed regelen, bouwen niet alleen aan betere audits, maar ook aan meer vertrouwen, meer controle en meer operationele rust.”

Read More »
9 april 2026
KPMG-onderzoek- waarom compliance in 2026 vraagt om Secure File Sharing
Blog

KPMG-onderzoek: waarom compliance in 2026 vraagt om Secure File Sharing

Waarom is een Secure File Sharing oplossing niet meer weg te denken in een goed Compliance beleid? KPMG zegt in essentie dat organisaties te maken krijgen met meer compliance-druk, hogere eisen aan privacy en cybersecurity, en een groeiende behoefte aan monitoring, rapportage en controle. Onze Msafe Secure File Transfer oplossing is perfect voor een omgeving waarin gevoelige bestanden versleuteld, toegangsgecontroleerd en volledig traceerbaar worden uitgewisseld.

Read More »
26 maart 2026
Secure file sharing automatiseren met de Msafe API
Blog

Secure file sharing automatiseren met de Msafe API

Steeds meer organisaties willen het delen van bestanden automatiseren. Niet langer handmatig uploaden, versturen en opslaan, maar secure file sharing direct integreren in bestaande processen en systemen. Met de API van Msafe wordt dat mogelijk. Via een API kunnen applicaties automatisch bestanden uploaden, delen en koppelen aan interne systemen zoals CRM- of documentmanagementsystemen.

Read More »
12 maart 2026
waarom email verouderde technologie is
Blog

Waarom email verouderde technologie is

Email is nog steeds het standaardkanaal in vrijwel elke organisatie, maar het is technisch en organisatorisch ontworpen voor een internet waar “vertrouwen” de default was. In 2026 is de realiteit anders: email is tegelijk productiviteitsrem, risicoversneller en compliance-hoofdpijndossier.

Read More »
12 februari 2026