Bezoekadres
Giessenborch 28
4132 HR VIANEN (U)
Contact
fred.vandenheuvel@uphill-sales.com
info@uphill-sales.com
Telefoon
+31 (0) 625 394 616
Waarom de locatie van je data niet het hele verhaal is.
Je denkt dat je data veilig is omdat die in een Europees datacenter staat? Denk nog eens na. De locatie van je data is maar één stukje van de puzzel — wie er juridisch over beslist, is minstens zo belangrijk. Met de opkomst van de CLOUD Act en overnames zoals die van Solvinity door Kyndryl, kan de controle over je gegevens in één klap veranderen. Privacy in de cloud draait niet om vinkjes zetten, maar om de juiste vragen stellen.
Locatie is niet hetzelfde als controle
Laatst sprak ik een relatie die ervan overtuigd was dat het met zijn wel data goed zat. Die data stond namelijk in een datacenter in Frankfurt. “Europa, dus AVG, dus veilig,” zei hij. Klinkt als een waterdicht plan. En ik ben niet de enige die dit hoort.
Toen ik aangaf dat de cloudprovider Amerikaans was, keek hij me verbaasd aan. “Maar die servers staan toch gewoon in Duitsland?” Ja, dat klopt. Maar dat is niet het hele verhaal. En dat verschil — tussen waar je data fysiek staat en wie er juridisch over beslist — is precies waar het in de praktijk steeds opnieuw misgaat.
Data heeft niet alleen een fysieke locatie, maar ook een juridisch thuis. En dat juridische thuis bepaalt uiteindelijk wie er bij kan, onder welke omstandigheden, en op basis van welke wetgeving.
Dat klinkt abstract, maar het is concreter dan je denkt. Stel dat je bedrijf klantdata opslaat bij een grote Amerikaanse cloudprovider, in een datacenter in Amsterdam of Frankfurt. De servers staan in Europa, de data valt onder de AVG — tot zover lijkt alles in orde.
Maar de provider zelf valt onder Amerikaanse wetgeving. En die twee dingen kunnen botsen.
De CLOUD Act, die in 2018 in de VS werd ingevoerd, verplicht Amerikaanse bedrijven om data te overhandigen aan Amerikaanse autoriteiten als daar om wordt gevraagd — ook als die data fysiek in Europa staat opgeslagen. Dat is geen theoretisch risico. Het is gewoon de wet, en hij geldt ongeacht waar de servers staan.
Gebruik je dus AWS, Microsoft Azure of Google Cloud, dan is de kans reëel dat jouw data onder Amerikaanse jurisdictie valt. Niet omdat je iets verkeerd hebt gedaan, maar puur omdat de provider daar gevestigd is.
De AVG: een stap vooruit, maar geen eindbestemming
Met de komst van de AVG in 2018 is er veel verbeterd. Bedrijven moeten transparant zijn over wat ze met persoonsgegevens doen, toestemming vragen waar nodig, en de boetes bij overtredingen kunnen flink oplopen. Dat heeft effect gehad: het privacybewustzijn in Europa is de afgelopen jaren aanzienlijk gegroeid.
Maar er zit een cruciale nuance in die vaak over het hoofd wordt gezien: de AVG gaat over de bescherming van data van EU-burgers, niet alleen over waar die data fysiek staat. In theorie zijn jouw gegevens dus beschermd, ook als ze buiten Europa worden verwerkt. In de praktijk wordt het ingewikkelder zodra meerdere jurisdicties in het spel zijn.
Want welke wet geldt dan eigenlijk? Die van het land waar de data staat? Van het land waar de provider gevestigd is? Van het land van de klant wiens data het betreft? Het antwoord is: het hangt ervan af. En dat is nu juist de crux.
Een fragiel compromis tussen Europa en de VS
Na de Schrems II-uitspraak in 2020 — waarbij het Europees Hof het Privacy Shield ongeldig verklaarde omdat de bescherming van EU-burgers onvoldoende was gewaarborgd — was er even grote onzekerheid over hoe data-uitwisseling tussen Europa en de VS legaal kon plaatsvinden.
In 2023 kwam er een nieuw akkoord: het EU-US Data Privacy Framework. De VS heeft daarin toegezegd dat toegang door inlichtingendiensten beperkter en transparanter wordt. Er is ook een onafhankelijk beroepsmechanisme opgezet voor EU-burgers. Dat zijn stappen vooruit.
Maar het systeem leunt zwaar op vertrouwen en politieke goodwill. De CLOUD Act bestaat nog steeds. En het Europees Hof heeft al twee keer eerder een vergelijkbaar akkoord ongeldig verklaard. Er is dus geen garantie dat het huidige framework standhoudt als de politieke verhoudingen veranderen of als er opnieuw een rechtszaak komt.
Dat maakt de situatie kwetsbaar. Niet acuut gevaarlijk, maar wel onzeker genoeg om serieus te nemen.
Hoe een Nederlandse speler in één klap onder Amerikaanse jurisdictie valt
Neem het voorbeeld van Solvinity, een Nederlandse hostingprovider die cruciale digitale infrastructuur beheert, zoals DigiD en MijnOverheid. Zolang Solvinity een onafhankelijk Nederlands bedrijf was, viel de data van Nederlandse burgers onder Nederlandse en Europese wetgeving. De Amerikaanse overheid had geen toegang. Dat veranderde in november 2025, toen Kyndryl de overname van Solvinity aankondigde.
In één klap viel al die data nu onder de jurisdictie van een Amerikaans bedrijf. En dat betekent: de CLOUD Act is van toepassing. Wat gisteren nog onmogelijk leek — toegang door Amerikaanse autoriteiten tot vertrouwelijke gegevens van Nederlanders, zoals namen, adressen en inkomensgegevens — is vandaag een reëel risico. Niet alleen kan de Amerikaanse overheid via Kyndryl toegang krijgen tot deze persoonsgegevens, maar in het ergste geval zou zelfs de toegang tot DigiD geblokkeerd kunnen worden.
Dit is geen hypothetisch scenario. Het is een concreet voorbeeld van hoe snel de regie over digitale infrastructuur en gevoelige burgersgegevens kan verschuiven naar een buitenlandse mogendheid. Het grootste gevaar? Nederland verliest de controle over zijn eigen digitale soevereiniteit en de continuïteit van vitale diensten zoals die van Logius komt in gevaar.
De blinde vlekken: encryptie, back-ups en verwerkersovereenkomsten
In mijn werk in de cybersecuritysector spreek ik regelmatig organisaties die denken dat ze het goed geregeld hebben omdat ze een Europese regio hebben gekozen in hun cloudinstellingen. Frankfurt, Amsterdam, Dublin — het voelt veilig. En voor een deel is dat ook zo.
Maar er zijn een paar blinde vlekken die ik keer op keer tegenkom.
De eerste blinde vlek is encryptie. Veel organisaties encrypteren hun data in de cloud, wat goed is. Maar encryptie is alleen effectief als jij zelf de sleutels beheert. Als de cloudprovider dat doet — wat in veel standaardconfiguraties het geval is — dan heeft die provider ook toegang. En daarmee, via de CLOUD Act, mogelijk ook Amerikaanse autoriteiten.
De tweede blinde vlek zijn back-ups. Productiedata staat netjes in Europa, maar waar staan de back-ups? Dat is een vraag die verrassend vaak niet direct beantwoord kan worden. Back-ups worden soms automatisch gerepliceerd naar andere regio’s, inclusief buiten Europa, zonder dat iemand daar bewust voor heeft gekozen.
De derde blinde vlek zijn verwerkersovereenkomsten. De AVG verplicht je om met verwerkers — partijen die namens jou persoonsgegevens verwerken — een verwerkersovereenkomst af te sluiten. Maar zo’n overeenkomst regelt de verantwoordelijkheden, niet de technische werkelijkheid. Als de provider onder Amerikaanse wetgeving valt, biedt een verwerkersovereenkomst geen bescherming tegen een CLOUD Act-verzoek.
Wat kun je vandaag al doen?
Ik zeg dit niet om angst aan te jagen of om te suggereren dat de grote cloudproviders per definitie een risico zijn. Voor de meeste toepassingen is het risico beheersbaar, en de voordelen van schaal, betrouwbaarheid en functionaliteit zijn reëel.
Maar bewust kiezen is iets anders dan niet nadenken. En dat onderscheid is belangrijk.
Een paar dingen die het waard zijn om scherp te hebben:
- Weet onder welke jurisdictie je provider valt, niet alleen in welke regio je data staat.
- Controleer wie de encryptiesleutels beheert. In veel gevallen kun je dat zelf regelen, maar je moet er wel expliciet om vragen.
- Breng in kaart waar je back-ups staan — en onder welke voorwaarden.
- Denk na over wat je zou doen als een provider een verzoek krijgt om data te overhandigen. Hoe zou je dat merken, en wat zijn je opties?
- Evalueer regelmatig wie de eigenaar is van je data en je provider. Een overname kan in één klap de juridische context veranderen.
Voor organisaties die met gevoelige data werken — in de zorg, het onderwijs, de overheid, of sectoren met strenge compliance-eisen — is het ook de moeite waard om Europese alternatieven serieus te evalueren. Niet omdat Amerikaans per definitie slecht is, maar omdat een Europese provider simpelweg niet onder de CLOUD Act valt. Dat is een structureel verschil, geen marketingverhaal.
Europa’s zoektocht naar digitale soevereiniteit
Achter deze discussie zit een bredere vraag die Europa al een aantal jaar bezighoudt: in hoeverre zijn we als continent afhankelijk van technologie-infrastructuur die buiten onze eigen juridische invloedssfeer valt?
Initiatieven zoals Gaia-X — een Europees project voor een veilige, transparante en interoperabele data-infrastructuur — zijn een poging om dat te veranderen. Het doel? Een alternatief bieden voor Amerikaanse en Chinese techgiganten, met meer controle voor Europese bedrijven en overheden. De uitvoering is complex en de voortgang is langzamer dan gehoopt, maar de richting is duidelijk. Europa wil minder strategische afhankelijkheid.
Dat is geen geopolitieke hobby. Het is een praktische vraag over wie er uiteindelijk de controle heeft over data die voor Europese bedrijven en burgers van levensbelang is.
Waar het om gaat
Mijn relatie met zijn data in een datacenter in Frankfurt heeft geen slechte keuze gemaakt. Hij heeft gewoon niet alle vragen gesteld. En dat is begrijpelijk — de materie is complex, de regelgeving verandert, en de grote providers zijn er goed in om de technische en juridische details op de achtergrond te houden.
Maar de kern is eenvoudig: waar je data staat is maar een deel van het verhaal. Net zo belangrijk is wie er juridisch over beslist. Wat gebeurt er als die twee met elkaar botsen.
Dus als je de volgende keer een cloudcontract tekent, of een bestaande situatie evalueert, stel dan niet alleen de technische vragen. Stel ook de juridische. Wie heeft er echt controle? Welke wetgeving is van toepassing? En wat gebeurt er als die met elkaar in conflict komen? Of als de eigenaar van je provider verandert?
Privacy gaat niet alleen over vinkjes zetten. Het vraagt om blijven doorvragen — ook als het antwoord ingewikkelder is dan je hoopte.