4 min leestijd

Waarom datavertrouwelijkheid bij Zivver geborgd blijft – en datasoevereiniteit juist verder versterkt is door de samenwerking met Kiteworks

Geplaatst door Rick Goud op 23 juni, 2025

woman working at computer

De zorgen over datasoevereiniteit en de afhankelijkheid van Amerikaanse cloudaanbieders zijn actueler dan ooit. Organisaties, met name binnen de publieke sector, stellen zich terecht de vraag: hoe houden we controle over onze data in een wereld waarin technologie, wetgeving en geopolitiek steeds meer verweven raken? 

De versterking van datasoevereiniteit en controle over vertrouwelijke communicatie was een van de belangrijkste aanleidingen voor de samenwerking tussen Zivver en Kiteworks. In deze whitepaper lichten we toe hoe deze stap bestaande waarborgen niet alleen intact laat, maar op cruciale punten juist verder versterkt – door helder uit te leggen: 

  • Welke risico’s reëel zijn bij Amerikaanse cloudleveranciers;  
  • Wat de technische en juridische realiteit is achter deze risico’s; en 
  • Waarom de samenwerking met Kiteworks Zivver juist in staat stelt om organisaties nog beter te ondersteunen in het borgen van datasoevereinheid en vertrouwelijkheid. 

Twee risico’s die vaak door elkaar worden gehaald 

In veel discussies over de risico’s van Amerikaanse cloudleveranciers worden verschillende zorgen op één hoop gegooid. Dat leidt tot verwarring – en soms tot ineffectieve maatregelen. In werkelijkheid gaat het om twee fundamenteel verschillende risico’s, met elk hun eigen juridische achtergrond en technische oplossingsrichting. 

Door dit onderscheid expliciet te maken, wordt duidelijk waarom sommige maatregelen (zoals encryptie of EU-datacenters) het ene risico wél mitigeren, maar het andere niet. 

  1. Toegang tot data op basis van de Amerikaanse CLOUD Act

    De CLOUD Act geeft de Amerikaanse overheid de bevoegdheid om Amerikaanse bedrijven te verplichten klantdata te overhandigen – ongeacht waar die data fysiek is opgeslagen. Dit betekent dat zelfs data in Europese datacenters niet veilig is voor toegang, zolang de leverancier onder Amerikaanse jurisdictie valt.

    Het risico zit dus niet in de locatie van de data, maar in de zeggenschap over toegang.

    Wat werkt wel:

    1. Encryptie waarbij uitsluitend de klant toegang heeft tot de encryptiesleutels. 
       Wanneer de leverancier de sleutel niet beheert of kan uitleveren, is de data feitelijk ontoegankelijk – ook bij een juridisch verzoek. 

    2. Zelfbeheer van de omgeving (on-premise of private cloud). 
      Als de software lokaal of in een eigen Europese       cloudomgeving draait, zonder dat de leverancier toegang heeft tot de infrastructuur of sleutels, kan deze ook niet voldoen aan een verzoek tot gegevensoverdracht – zelfs als hij dat zou willen.       

  2. Verlies van dienstverlening door geopolitiek gedreven sancties

    De Amerikaanse overheid kan technologiebedrijven verplichten om de toegang tot hun diensten te blokkeren voor specifieke organisaties of landen. Recente voorbeelden – zoals de blokkade van Microsoft-accounts van het Internationaal Strafhof, op verzoek van de Amerikaanse regering onder Trump – maken duidelijk dat dit risico allang geen theoretisch scenario meer is. 

    Wat níet werkt:

    1. Encryptie alleen is onvoldoende. 
      Ook als data goed versleuteld is, kan de dienst alsnog onbruikbaar worden als toegang tot de software zelf wordt geblokkeerd. 

    2. Opslag in een EU-datacenter biedt geen bescherming. 
      De blokkade vindt plaats op operationeel niveau (accounts, toegangsrechten), niet op basis van fysieke locatie.

    Wat wél werkt: 

    1. Vermijd afhankelijkheid van Amerikaanse operationele infrastructuur. 
      Denk aan identity services, updatekanalen, licentiechecks of cloudbeheer door Amerikaanse partijen. 

    2. Gebruik software die volledig autonoom kan functioneren. 
      Alleen oplossingen die lokaal of in een Europese private cloud draaien – zonder afhankelijkheid van externe authenticatie-, licentie- of hostingservices – blijven beschikbaar, ook onder politieke druk of sancties. 

Hoe Zivver deze risico’s structureel adresseert – nu al voor datatoegang, straks ook voor operationele continuïteit 

Zivver is ontworpen op het principe dat gevoelige communicatie uitsluitend toegankelijk mag zijn voor verzender en ontvanger – ongeacht waar of door wie de oplossing wordt gehost. 

  Zero-access encryptie 

Alle berichten die via Zivver worden verzonden of opgeslagen zijn zodanig versleuteld dat: 

  • Alleen de verzender en ontvanger toegang hebben tot de inhoud; 

  • Zivver geen toegang heeft tot de inhoud; en 

  • De encryptiesleutels uitsluitend door de klant worden beheerd.

Zelfs als Zivver gebruikmaakt van clouddiensten zoals AWS, zijn deze infrastructuren technisch uitgesloten van toegang tot sleutels of berichteninhoud. Daarmee is het risico op toegang via de CLOUD Act in de praktijk uitgesloten. 

Self-hosting als volgende stap: private cloud of on-premise 

Zivver ontwikkelt op dit moment een variant van haar oplossing die nog meer bescherming biedt en organisaties in staat stelt om: 

  • De volledige oplossing te draaien binnen een eigen datacentrum of private cloudomgeving; 

  • Met volledige controle over infrastructuur, configuratie én sleutelbeheer; en 

  • Zonder afhankelijkheid van Amerikaanse of externe serviceproviders. 

Dit betekent dat organisaties niet nog beter beschermd zijn tegen externe toegang, maar ook tegen verstoring van dienstverlening door externe partijen.

Waarom de samenwerking met Kiteworks juist versterkt wat organisaties nodig hebben 

Kiteworks biedt een platform voor het veilig verzenden, ontvangen, delen en bewerken van gevoelige bestanden en berichten – via onder andere e-mail, MFT (Managed File Transfer), SFTP en webformulieren. Net als Zivver richt Kiteworks zich volledig op het beschermen van vertrouwelijke communicatie, met een focus op compliance, datacontrole en auditability: 

  • Een breder scala aan use cases te ondersteunen, zoals secure file sharing, MFT, SFTP en formulieren; 

  • Dit ook beschikbaar te maken als on-premise of private cloud oplossing; en 

  • Met behoud van de zero-access architectuurprincipes die de oplossing van Zivver kenmerken. 

In plaats van concessies te doen aan datasoevereiniteit, stelt deze samenwerking ons juist in staat om soevereine oplossingen op schaal én met meer functionele breedte aan te bieden – volledig onafhankelijk van Amerikaanse clouddiensten of infrastructuur. 

Conclusie 

Zivver biedt, zeker ook in samenwerking met Kiteworks, structurele bescherming tegen de twee belangrijkste risico’s van de Amerikaanse cloud: 

  • Toegang tot data door derden wordt uitgesloten door middel van zero-access encryptie en sleutelbeheer bij de klant. 

  • Verlies van dienstverlening wordt voorkomen door de mogelijkheid om Zivver self-hosted te draaien, los van externe afhankelijkheden. 

De samenwerking met Kiteworks stelt Zivver in staat om organisaties nog beter te bedienen in hun streven naar datasoevereiniteit – zonder concessies te doen aan gebruiksgemak, compliance of veiligheid. 
Rick Goud avatar

Rick Goud

CIO & Founder Zivver

Geplubliceerd: 23rd juni 2025

Meld je aan voor onze nieuwsbrief
Deel dit

Vond je dit artikel interessant? Laat anderen er ook van weten

Vorige

Terug naar het overzicht

Blijf op de hoogte met Zivver

Blijf op de hoogte van security tips, meld je aan.