Het is een wet die de meeste Nederlanders niet kennen, maar die direct relevant is voor elke advocaat die gebruik maakt van cloud-diensten van Amerikaanse techbedrijven. De CLOUD Act, aangenomen door het Amerikaanse Congres in 2018, geeft de Amerikaanse overheid de bevoegdheid om data op te vragen bij in de VS gevestigde bedrijven, ongeacht waar die data fysiek is opgeslagen.
Wat betekent dit als u voor uw advocatenpraktijk gebruikmaakt van ChatGPT, Microsoft Copilot of andere AI-diensten van Amerikaanse aanbieders? En hoe verhoudt de CLOUD Act zich tot de AVG en uw geheimhoudingsplicht als advocaat?
Wat de CLOUD Act precies regelt
De Clarifying Lawful Overseas Use of Data Act is ingevoerd om een juridische onzekerheid op te lossen. Vóór 2018 was onduidelijk of de Amerikaanse overheid via een dagvaarding data kon opvragen die bij een Amerikaans bedrijf was opgeslagen, maar fysiek op servers buiten de VS stond.
De CLOUD Act beantwoordt die vraag bevestigend. Een Amerikaans bedrijf dat een vordering ontvangt van een federale autoriteit moet die data verstrekken, ook als de servers in Amsterdam, Dublin of Frankfurt staan. Het bedrijf kan bezwaar maken als er sprake is van een wezenlijk conflict met het recht van het land waar de data staat, maar de bewijslast is hoog en de procedure tijdrovend.
In de praktijk betekent dit: data die u via services van OpenAI, Microsoft Azure, AWS of Google Cloud verwerkt, valt onder het bereik van de CLOUD Act. Dat geldt ook voor Europese datacenters van deze bedrijven.
Wat dit betekent voor de advocaat-cliëntverhouding
De geheimhoudingsplicht van de advocaat is geen abstracte beroepsregel. Het is een fundamenteel recht dat bijdraagt aan het recht op een eerlijk proces: een cliënt moet zijn advocaat alles kunnen vertellen, wetende dat die informatie beschermd is.
Als cliëntgegevens die u verwerkt via een AI-tool bereikbaar zijn voor de Amerikaanse overheid, is er een structureel gat in die bescherming. Niet omdat een aanvraag onder de CLOUD Act waarschijnlijk is in uw zaken, maar omdat de bescherming conditioneel is geworden. De vraag is niet meer "is de informatie geheim" maar "is de informatie geheim, tenzij de Amerikaanse overheid het opvraagt."
Voor cliënten in internationale handelszaken, zaken met buitenlandse procespartijen, of gevoelige zakelijke conflicten waarbij Amerikaanse belangen spelen, is dit meer dan een theoretisch risico.
Relevant voor EU-advocaten: de Europese Commissie heeft de CLOUD Act geïdentificeerd als een complicerende factor voor de toepasbaarheid van het EU-VS Data Privacy Framework. Het Framework maakt doorgifte van EU-persoonsgegevens naar de VS mogelijk, maar beschermt niet in alle gevallen tegen CLOUD Act-vorderingen.
Hoe verhoudt dit zich tot de AVG?
De AVG vereist dat persoonsgegevens bij overdracht naar derde landen adequaat beschermd zijn. De Autoriteit Persoonsgegevens hanteert als uitgangspunt dat de CLOUD Act een risico vormt voor de bescherming van EU-persoonsgegevens die bij Amerikaanse bedrijven worden opgeslagen.1
In de praktijk is de situatie genuanceerd. Het EU-VS Data Privacy Framework maakt overdracht mogelijk voor gecertificeerde bedrijven. Maar als die overdracht vervolgens onderhevig kan zijn aan CLOUD Act-vorderingen, is de vraag of de bescherming "adequaat" is in de zin van de AVG nog niet juridisch volledig uitgekristalliseerd. Dat juridische grijs gebied is op zichzelf al een risico voor de advocaat die AVG-compliance serieus neemt.
Het probleem voor AI-diensten specifiek
AI-diensten voegen een extra laag toe aan het CLOUD Act-vraagstuk. Wanneer u een document invoert in een cloud-AI-tool, wordt dat document niet alleen opgeslagen maar ook verwerkt. Afhankelijk van de voorwaarden van de dienst wordt de verwerking gelogd, kan het document worden gebruikt voor modelverbetering, en worden de interacties bewaard voor een bepaalde periode.
Dit betekent dat de CLOUD Act niet alleen van toepassing is op de data die u bewust opslaat, maar ook op de verwerking van die data: de prompts die u invoert, de uitvoer die het model genereert, en alle metadata rondom dat gebruik.
Drie opties voor advocaten
Optie 1: cloud-AI gebruiken zonder cliëntgegevens. Beperk het gebruik van diensten zoals ChatGPT tot taken waarbij u geen cliëntspecifieke of vertrouwelijke informatie invoert. De CLOUD Act speelt dan geen rol.
Optie 2: Europees cloud-AI. AI-diensten aangeboden door bedrijven zonder Amerikaans moederbedrijf en met servers in de EU vallen niet onder de CLOUD Act. Het aanbod in deze categorie is beperkt maar groeiend. "Europese servers" bij een Amerikaans bedrijf is niet voldoende.
Optie 3: lokale AI. AI-tools die volledig op uw eigen apparaat draaien, vallen per definitie buiten de CLOUD Act. Er is geen Amerikaans bedrijf bij betrokken, omdat de data nooit uw machine heeft verlaten. Dit is de meest robuuste oplossing voor advocaten die cliëntspecifieke informatie willen verwerken met AI.
LocalApps.ai is gebouwd met de CLOUD Act in gedachten. Document Chat draait volledig op uw eigen laptop. Er zijn geen servers, geen Amerikaanse bedrijven in de keten, en geen data die uw machine verlaat.
Meer over Document Chat →Een eerlijke kanttekening
De CLOUD Act is een risicofactor, geen zekerheid van misbruik. De overgrote meerderheid van advocatenpraktijken in Nederland zal nooit een CLOUD Act-vordering meemaken. Het gaat om het principe: de bescherming is conditioneel geworden, en dat is een structureel probleem voor een beroepsgroep waarvoor vertrouwelijkheid fundamenteel is.
De vraag is niet "is dit voor mij ooit relevant", maar "kan ik mijn cliënten garanderen dat hun informatie vertrouwelijk blijft." De CLOUD Act maakt die garantie, bij gebruik van Amerikaanse cloud-diensten, onmogelijk te geven zonder voorbehoud.
Bronnen: CLOUD Act tekst (U.S. Congress) · 1. Autoriteit Persoonsgegevens: AI en privacy · NOvA Aanbevelingen AI in de advocatuur