Losmaken van Amerikaanse BigTech: zo doe je dat

We leven in een tijdperk waarin digitale diensten alomtegenwoordig zijn. E-mail, browsers, sociale media, chatapps en kunstmatige intelligentie bepalen hoe we werken, communiceren en informatie verwerken. Maar een groot deel van deze digitale infrastructuur wordt gedomineerd door Amerikaanse BigTech-bedrijven: Google, Microsoft, Meta en Apple. Deze bedrijven leveren betrouwbare diensten, maar hun dominantie brengt risico's met zich mee: denk aan dataprivacy, geopolitieke druk, handelsbeperkingen en de economische impact van mogelijke sancties.

De actuele discussie rondom de voorgenomen overname van Solvinity door het Amerikaanse Kyndryl illustreert hoe urgent deze kwestie is geworden. Solvinity beheert de infrastructuur waarop DigiD draait — de digitale identiteit die elke Nederlander nodig heeft voor contact met de Belastingdienst, pensioenfondsen, zorgverzekeraars en gemeenten. De Tweede Kamer heeft inmiddels Kamervragen gesteld en het Bureau Toetsing Investeringen onderzoekt de overname. De Amerikaanse Cloud Act maakt het voor Amerikaanse autoriteiten immers mogelijk om toegang te eisen tot data die onder beheer staat van Amerikaanse bedrijven, ook wanneer die data zich fysiek buiten de VS bevinden.

Loskomen van deze afhankelijkheid is geen utopie meer; het begint steeds prangender te worden. Zeker nu Europa werkt aan initiatieven om zijn eigen digitale infrastructuur, innovatieklimaat en rechtspositie te versterken.

E-mail: privacy en controle terugnemen

E-mail lijkt misschien ouderwets, maar is nog altijd een van de meest gebruikte communicatiemiddelen in de juridische praktijk. Grote spelers als Gmail en Outlook zijn handig, maar verzamelen metadata en zijn vaak geïntegreerd in bredere commerciële ecosystemen. Voor advocaten en juristen die werken met vertrouwelijke cliëntgegevens en gevoelige correspondentie, is dit een reëel aandachtspunt.

Europese alternatieven die privacy respecteren:

• Soverin — Deze Nederlandse e-mailprovider, opgericht naar aanleiding van de Snowden-onthullingen, hanteert een privacy by design-aanpak: geen tracking, geen advertenties, geen datamining. Alle data blijft in Nederland, beschermd door Europees recht. Het bedrijf is ISO 27001-, 14001- en 9001-gecertificeerd en NIS2-compliant. Recent overgenomen door The Sharing Group, versterkt dit de positie als Europees alternatief.

• Proton Mail — Dienst van het Zwitserse Proton AG, bekend om strenge privacywetten en end-to-end encryptie. Proton valt onder Zwitsers recht, buiten de jurisdictie van de Amerikaanse Cloud Act. Naast e-mail biedt Proton ook Proton Drive voor veilige cloudopslag en Proton Pass als wachtwoordmanager.

• Mailbox.org — Een Duitse e-mail- en productiviteitsservice met geïntegreerde agenda en cloudopslag, als alternatief voor Microsoft 365 of Google Workspace. Voldoet volledig aan de AVG.

Browsers en zoekmachines: digitaal bewegen zonder sporen

Veel gebruikers surfen via Chrome of Edge en zoeken via Google — twee diensten met uitgebreide datacollectie. Voor juristen die werken met gevoelige dossiers of onderzoek doen naar tegenpartijen, is een privacyvriendelijk alternatief geen luxe.

Browsers:

• Firefox — Open source browser van de non-profit Mozilla Foundation

• Brave — Blokkeert standaard advertenties en trackers

• Vivaldi — Europese browser met uitgebreide privacy-opties

Zoekmachines:

• DuckDuckGo — Geen uitgebreide dataprofilering

• Qwant — Frans, privacy-first alternatief

• Ecosia — Duits, met maatschappelijke impact (herplant bomen met advertentie-inkomsten)

Messaging: communicatie zonder verborgen toezicht

Communicatie-apps zijn intiem: wie je spreekt, wanneer en hoe. Juridische advisering via WhatsApp of Messenger betekent dat metadata — en potentieel inhoud — worden gedeeld met bedrijven die deze gegevens kunnen analyseren en delen met derden.

Sterke privacy-alternatieven:

• Signal — End-to-end encryptie, open source en zonder commerciële belangen. Aanbevolen door privacy-experts wereldwijd.

• Threema — Zwitsers platform met focus op privacy, zonder dataverzameling. Kan ook zonder telefoonnummer worden gebruikt.

• Wire — Zwitserse open-source communicatieplatform met end-to-end encryptie voor tekst, spraak, video en bestandsoverdracht. GDPR-compliant en ISO 27001-gecertificeerd.

Videoconferenties: vergaderen zonder Amerikaanse servers

Voor advocaten die werken met vertrouwelijke cliëntinformatie is de keuze voor een videoconferentie-tool geen neutrale beslissing. Zoom en Microsoft Teams zijn onderworpen aan de Amerikaanse CLOUD Act, waardoor data — ondanks opslag in Europese datacenters — door Amerikaanse autoriteiten kan worden opgevorderd.

Europese alternatieven:

• Jitsi Meet — Open source, kan zelf gehost worden, GDPR-compliant. Geen registratie vereist, geen opslag van gebruikersdata. Ideaal voor kantoren die volledige controle willen.

• Digital Samba — Nederlandse videoconferentie-dienst, 100% Europees gehost, geen tracking. Actief sinds 2003 en volledig onafhankelijk van Big Tech.

• Whereby — Noors bedrijf, browser-based (geen downloads nodig), GDPR-compliant en ISO 27001-gecertificeerd. Infrastructuur routeert Europese gebruikers naar datacenters binnen de EEA.

• alfaview — Duitse GDPR-compliant oplossing, gebruikt door meer dan 20.000 instellingen. Geen datatransfer naar de VS.

• Eyre.ai — Europees platform met end-to-end encryptie, specifiek ontworpen voor gevoelige gesprekken. AI-functies draaien op Europese LLM's.

• Proton Meet — Verwacht in 2025/2026, bouwt voort op Proton's privacy-first architectuur met end-to-end encryptie via Messaging Layer Security (MLS).

Voor kantoren die zelf willen hosten bieden Nextcloud Talk en BigBlueButton uitstekende mogelijkheden — met volledige controle over waar de data blijft.

Social media: weg van algoritmen, terug naar controle

BigTech domineert ook de sociale netwerken. Platforms zoals Facebook, Instagram en TikTok gebruiken algoritmen om content te sturen — met commerciële en soms maatschappelijke gevolgen. De boete van €120 miljoen aan X onder de Digital Services Act illustreert de spanningen tussen Europese regelgeving en Amerikaanse techplatforms.

Nieuwe Europese initiatieven:

• W Social — Gepresenteerd tijdens het World Economic Forum in Davos, is dit een Europees sociaal netwerk dat gebruikers verifieert met document en foto. W vereist 100% opslag van data in Europa op servers van Europese bedrijven en focust op bestrijding van desinformatie.

• Monnett — Gelanceerd vanuit Luxemburg, positioneert zich als een post-algoritmisch sociaal medium. Gebruikers bepalen zelf wat ze zien in hun tijdlijn: chronologisch, zonder gedragsprofilering, en met een verbod op AI-gegenereerde content. Geïnspireerd door Henri Lefebvre's "Right to the City", vertaald naar een "Right to the Social".

AI-assistenten: lokaal draaien, privacy beschermen

AI-assistenten en taalmodellen worden steeds belangrijker voor juridisch onderzoek, contractanalyse en documentverwerking. Maar afhankelijkheid van externe, commerciële modellen betekent dat data en interacties potentieel extern worden opgeslagen en gebruikt — een risico voor de vertrouwelijkheid van cliëntinformatie.

Privacy-vriendelijke alternatieven:

• Jan.ai — Open source ChatGPT-alternatief dat 100% offline draait op je eigen computer. Ondersteunt modellen als Llama, Mistral en Qwen. Geen data naar externe servers.

• OLMo — Volledig open taalmodel van het Allen Institute for AI (AI2). Anders dan veel "open" modellen zijn bij OLMo ook de trainingsdata, code en checkpoints beschikbaar. Dit maakt volledige transparantie en reproduceerbaarheid mogelijk.

• Proton Lumo — Privacygerichte AI-chatbot van Proton, met zero-access encryptie en een no-logs beleid. Draait op open source modellen vanuit Europese datacenters. Volgens Proton worden gesprekken niet gebruikt voor modeltraining en worden geen data gedeeld met derden.

Wachtwoordbeheer en veilige opslag

Een robuuste digitale strategie vereist ook veilige opslag en beheer van toegangscodes — zeker voor kantoren die werken met meerdere systemen en gevoelige cliëntdata.

• Proton Pass — Privacygerichte wachtwoordmanager, geïntegreerd met andere Proton-diensten

• Proton Drive — Veilige cloudopslag met end-to-end encryptie

• The Good Cloud — Nederlandse cloud-opslagdienst

De Europese politieke context: EU Inc. en digitale soevereiniteit

Loskomen van BigTech is niet alleen een keuze van individuele gebruikers of bedrijven — het is inmiddels een politiek thema van strategisch belang. De Europese Commissie heeft onder leiding van Ursula von der Leyen EU Inc. gelanceerd, een initiatief dat beoogt Europa aantrekkelijker te maken voor tech-innovatie en startups.

Wat beoogt EU Inc.?

• Eén uniforme Europese juridische entiteit voor startups in alle 27 lidstaten, met digitale oprichting binnen 48 uur

• Eenvoudigere grensoverschrijdende regelgeving en uniforme aandelen- en optiestructuren

• Lagere bureaucratische barrières

De EU Startup and Scaleup Strategy, gepresenteerd in mei 2025, zet startups en scaleups centraal in de Europese concurrentieagenda. Commissioner Ekaterina Zaharieva heeft toegezegd om in 2026 een wetsvoorstel te presenteren voor het zogenaamde "28th regime" — een optioneel EU-breed rechtskader naast de nationale stelsels.

Het doel is duidelijk: Europa op eigen benen laten staan zonder telkens afhankelijk te zijn van Amerikaanse venture capital-structuren, regelgeving of digitale diensten.

Conclusie: zelf doen, en samen bouwen

Het losmaken van Amerikaanse BigTech is geen eenvoudig proces en het zal niet van de ene op de andere dag gebeuren. Toch zijn er nu al concrete stappen die juristen, bedrijven en individuele gebruikers kunnen zetten om meer digitale autonomie te realiseren.

Due diligence checklist voor leveranciersselectie

Bij de selectie van digitale dienstverleners zou elk advocatenkantoor minimaal de volgende vragen moeten beantwoorden:

1. Jurisdictie: Waar is de leverancier gevestigd? Valt het bedrijf onder de Amerikaanse CLOUD Act of vergelijkbare extraterritoriale wetgeving?

2. Datalocatie: Waar worden de gegevens fysiek opgeslagen? Is er een garantie dat data binnen de EU/EER blijft?

3. Subverwerkers: Welke derde partijen hebben toegang tot de data? Zijn dit Europese of niet-Europese partijen?

4. Verwerkersovereenkomst: Is er een AVG-conforme verwerkersovereenkomst beschikbaar? Zijn de bepalingen over doorgifte naar derde landen adequaat?

5. Certificeringen: Beschikt de leverancier over relevante certificeringen (ISO 27001, SOC 2, NIS2-compliance)?

6. Exit-strategie: Kunnen gegevens worden geëxporteerd? Wat gebeurt er bij beëindiging van het contract?

7. Incidentrespons: Hoe snel wordt u geïnformeerd bij een datalek? Wat zijn de procedures?

Digitale soevereiniteit betekent niet alleen onafhankelijkheid van technologie, maar ook versterking van democratische waarden, fundamentele rechten en Europese economische kracht. De Solvinity-casus toont aan dat dit geen abstract beleidsthema is, maar een concreet risico dat raakt aan de kerntaken van de overheid en de privacy van elke burger. Het zijn inzichten die elke jurist zou moeten kennen én omarmen in de praktijk van morgen.