EU-datasoevereiniteit: waarom 'gehost in Frankfurt' niet AVG-compliant is

Data opslaan in een EU-datacenter maakt het niet soeverein. De Amerikaanse CLOUD Act kan AWS, Azure en Google Cloud dwingen om in de EU opgeslagen data te overhandigen. Wat dit betekent voor jouw bedrijf en hoe je een hostingprovider beoordeelt.

In januari 2026 lanceerde AWS zijn European Sovereign Cloud: fysiek gescheiden infrastructuur, een Duitse rechtspersoon, personeel met EU-paspoort. Alle vakjes aangevinkt. Op eentje na.

AWS European Sovereign Cloud GmbH is een 100% dochteronderneming van Amazon.com, Inc. Een Amerikaans bedrijf. En daarmee blijft de CLOUD Act gewoon van toepassing.

Dit is het onderscheid dat de meeste bedrijven over het hoofd zien. Je data kan in Frankfurt, Amsterdam of Dublin staan en toch juridisch bereikbaar zijn voor Amerikaanse autoriteiten. Geen achterdeurtje. Expliciete wetgeving.

TL;DR: Dataresidentie (waar je server staat) is niet hetzelfde als datasoevereiniteit (wiens wetten bepalen wie er bij je data kan). De Amerikaanse CLOUD Act dwingt cloudproviders met een Amerikaans moederbedrijf om data te overhandigen, ongeacht waar die data fysiek staat. AVG-artikel 48 zegt dat zulke bevelen niet geldig zijn zonder een rechtshulpverdrag. Dat levert een onopgelost juridisch conflict op. Het EU-VS Data Privacy Framework dekt commerciële datatransfers, geen opsporingsverzoeken. Nederlandse bedrijven in de zorg, overheidstoeleveranciers en juridische dienstverleners lopen het meeste risico. Beoordeel je hostingprovider op jurisdictie, niet op datacenterlocatie.

Inhoudsopgave

Dataresidentie is geen datasoevereiniteit

Dataresidentie is een geografisch begrip. Je data staat fysiek in een bepaald land: je kiest AWS eu-central-1 (Frankfurt) of Azure West Europe (Nederland), en daar staan de bits.

Datasoevereiniteit is een juridisch begrip. Het bepaalt welke rechtbank, welke wetgeving en welke overheid toegang kan eisen tot je data. Het gaat over controle, niet over coördinaten.

Het Cloud Sovereignty Framework van de Europese Commissie, gepubliceerd in oktober 2025, maakt dit onderscheid concreet. Het beoordeelt cloudproviders op acht soevereiniteitsdimensies (juridisch, data, toeleveringsketen, strategisch en meer) met 32 vragen op een schaal van 0 tot 4. Een server in Frankfurt scoort prima op residentie. Over juridische soevereiniteit zegt dat helemaal niets als het moederbedrijf in de VS is gevestigd.

Vergelijk het met een kluisje. Een kluisje bij een Nederlandse bank en een kluisje bij het Nederlandse filiaal van een Amerikaanse bank staan in dezelfde stad. De juridische bescherming is totaal anders.

De CLOUD Act: volg de provider, niet de server

De Clarifying Lawful Overseas Use of Data Act (CLOUD Act), ondertekend op 23 maart 2018, stelt expliciet dat Amerikaanse opsporingsinstanties elke in de VS gevestigde cloudprovider kunnen dwingen om opgeslagen data te overhandigen. Ongeacht waar die data fysiek staat.

De wet ontstond niet uit het niets. In 2013 eiste de FBI een huiszoekingsbevel voor e-mails op Microsoft-servers in Dublin, Ierland. Microsoft vocht het bevel aan tot aan het Second Circuit Court of Appeals, dat Microsoft gelijk gaf: de Stored Communications Act gold niet buiten de VS. Terwijl het Supreme Court de zaak behandelde, nam het Congres de CLOUD Act aan en was de discussie voorbij. Data in het buitenland? Gewoon opvraagbaar.

Het principe is helder: volg de provider, niet de server. AWS, Azure en Google Cloud zijn Amerikaanse bedrijven. Een CLOUD Act-bevel bereikt hun datacenter in Frankfurt net zo makkelijk als eentje in Virginia.

En dat is alleen nog maar de opsporingskant. FISA Section 702 voegt daar een inlichtingenmechanisme aan toe. Het machtigt Amerikaanse inlichtingendiensten om communicatie van niet-Amerikanen te verzamelen via Amerikaanse providers, zonder individuele rechterlijke toestemming. Het Hof van Justitie van de EU noemde FISA 702 als voornaamste reden om het Privacy Shield ongeldig te verklaren in het Schrems II-arrest van 2020.

Wat de EU eraan doet

Er zijn inmiddels drie juridische instrumenten die dit conflict direct aanpakken. Geen ervan lost het volledig op.

AVG-artikel 48

Artikel 48 stelt dat rechterlijke uitspraken en bestuurlijke besluiten uit derde landen die datatransfers vereisen, alleen afdwingbaar zijn als ze gebaseerd zijn op een internationale overeenkomst, zoals een rechtshulpverdrag (MLAT). Een CLOUD Act-bevel zonder toepasselijk verdrag is onder de AVG geen geldige rechtsgrond.

Het EDPB bevestigde dit in zijn definitieve richtsnoeren over artikel 48, vastgesteld in juni 2025. Buitenlandse rechterlijke bevelen "kunnen niet automatisch of rechtstreeks worden erkend of afgedwongen" in een EU-lidstaat. De patstelling is compleet: voldoe je aan de CLOUD Act, dan schend je de AVG. Weiger je, dan schend je Amerikaans recht.

EU Data Act, artikel 32

De EU Data Act is sinds 12 september 2025 volledig van toepassing. Artikel 32 breidt hetzelfde principe uit naar niet-persoonsgebonden data: cloudproviders moeten "passende technische, organisatorische en juridische maatregelen" nemen om toegang door derde landen die in strijd is met EU-recht te voorkomen. Providers moeten bovendien publiceren welke maatregelen ze nemen.

Daar komt bij: de Data Act heeft ook praktische overstaprechten gecreëerd via artikelen 23 tot 31. Je kunt voortaan met twee maanden opzegtermijn van cloudprovider wisselen. Overstapkosten worden in januari 2027 volledig afgeschaft.

Het EU-VS Data Privacy Framework

Het Data Privacy Framework (DPF) overleefde zijn eerste juridische aanval toen het Gerecht van de EU de Latombe-zaak in september 2025 verwierp. Maar het fundament wankelt. President Trump ontsloeg de Democratische leden van het PCLOB (Privacy and Civil Liberties Oversight Board) in januari 2025. Dat is het toezichtsorgaan dat de Europese Commissie 31 keer aanhaalde in haar adequaatheidsbesluit. NOYB heeft aangekondigd dat een bredere aanvechting volgt.

En het punt dat te vaak verloren gaat: het DPF regelt commerciële persoonsgegevensoverdrachten tussen bedrijven. Het biedt geen enkele bescherming tegen CLOUD Act-bevelen van opsporingsdiensten. Dat zijn gescheiden juridische domeinen. Dat je cloudprovider DPF-gecertificeerd is, verandert niets aan overheidstoegang tot je data.

Welke Nederlandse bedrijven dit het meest raakt

Dit is niet voor iedereen even urgent. Drie sectoren voelen de druk het meest concreet.

Zorg. Verwerk je patiëntgegevens, dan is NEN 7510 wettelijk verplicht. Medische data opslaan bij een provider met een Amerikaans moederbedrijf introduceert een CLOUD Act-risico dat moeilijk te rijmen valt met de intentie van die norm. De Europese trend is duidelijk: Duitsland verplicht BSI C5 voor zorgcloud sinds juli 2025.

Overheidstoeleveranciers. De Baseline Informatiebeveiliging Overheid (BIO) geldt voor alle vier de overheidslagen. De Algemene Rekenkamer constateerde in januari 2025 dat bij 67% van de belangrijkste clouddiensten van de Rijksoverheid geen risicoanalyse was uitgevoerd. De Tweede Kamer nam vervolgens moties aan die de regering opriepen om af te stappen van Amerikaanse clouddiensten. De afhankelijkheid werd "een bedreiging voor autonomie en cyberveiligheid" genoemd. Als je levert aan overheidsinstanties, bereiken die eisen jou via aanbestedingsvoorwaarden.

Juridische en financiële dienstverlening. Een CLOUD Act-openbaarmaking van cliëntgegevens kan een fundamentele schending vormen van het beroepsgeheim. Voor advocatenkantoren, accountantspraktijken en financieel adviseurs die vertrouwelijke dossiers verwerken, is jurisdictie van de hostingprovider geen IT-vraagstuk. Het is een beroepsaansprakelijkheidsvraagstuk.

Hoe beoordeel je een hostingprovider op soevereiniteit

Certificeringen alleen beantwoorden de soevereiniteitsvraag niet. ISO 27001 certificeert je informatiebeveiligingssysteem. SOC 2 attesteert je controlemaatregelen. BSI C5 maakt je jurisdictie transparant. Maar geen van deze standaarden voorkomt dat een CLOUD Act-bevel wordt uitgevaardigd. Het soevereiniteitsframework van de Europese Commissie beoordeelt soevereiniteit dan ook als een aparte dimensie naast beveiliging.

Vier vragen snijden door de marketinglaag heen:

  1. Waar is het uiteindelijke moederbedrijf gevestigd? Veruit de belangrijkste vraag. Een Amerikaans moederbedrijf betekent CLOUD Act-jurisdictie. Punt. Ongeacht datacenterlocatie, dochterstructuur of "sovereign"-branding.
  2. Wie beheert de encryptiesleutels? Customer-managed encryption (BYOK) op EU-hardware is een serieuze mitigatie, al dekt het geen metadata of accountinformatie.
  3. Is de sub-processorenketen transparant? Onder AVG-artikel 28 moet je provider alle sub-processors melden met hun locaties. Eén Amerikaanse sub-processor herintroduceert het hele CLOUD Act-risico.
  4. Wat staat er in het transparantierapport? Amerikaanse wetgeving verbiedt het publiceren van exacte aantallen nationale veiligheidsverzoeken. Je ziet bandbreedtes, geen cijfers. Lees de voetnoten.

Europese providers buiten CLOUD Act-bereik

Meerdere providers met een EU-hoofdkantoor vallen structureel buiten de CLOUD Act:

Kleinere, gespecialiseerde managed hostingproviders die volledig onder Nederlandse of Duitse jurisdictie opereren bieden hetzelfde structurele voordeel. Waar het om draait is de eigendomsketen, niet het marketingmateriaal.

Wanneer soevereiniteit overdreven is

Niet elke workload vraagt om dit analyseniveau. Heb je een portfoliosite, een bedrijfsbrochure-website of een blog zonder inlogsysteem en zonder persoonsgegevens behalve een contactformulier? Dan is het CLOUD Act-risico theoretisch. Je verwerkt simpelweg niet het type data dat echte blootstelling creëert.

De praktische grens: verwerk je gevoelige persoonsgegevens (medische dossiers, BSN-nummers, financiële data, juridische stukken), of vloeien er soevereiniteitseisen naar je toe via contracten met overheids- of enterprise-klanten? Dan hoort jurisdictie van de provider bij je belangrijkste selectiecriteria. Zo niet, dan volstaat een goed geconfigureerde EU-regio bij een gerenommeerde provider voor de meeste situaties prima.

Er zit ook een kostenkant aan. Amerikaanse hyperscalers beheersen nog steeds zo'n 70% van de Europese cloudmarkt, met Europese providers samen op ongeveer 15%. Overstappen van AWS of Azure om soevereiniteitsredenen terwijl je toegang verliest tot managed diensten als Aurora, Cosmos DB of BigQuery is een afweging die eerlijke evaluatie verdient, geen ideologische overtuiging.

De pragmatische aanpak: classificeer je workloads. Stuur gevoelige en gereguleerde data door EU-soevereine infrastructuur. Laat niet-gevoelige workloads draaien waar ze het best presteren. Dit hoeft geen alles-of-niets-beslissing te zijn.

De belangrijkste punten

  • Dataresidentie ≠ datasoevereiniteit. Servers in Frankfurt, Amsterdam of Dublin beschermen je data niet als het moederbedrijf van de provider onder de CLOUD Act valt.
  • De CLOUD Act en FISA Section 702 geven Amerikaanse autoriteiten toegang tot data bij Amerikaanse bedrijven, wereldwijd. AVG-artikel 48 en artikel 32 van de EU Data Act zeggen dat die toegang in strijd is met EU-recht. Het conflict is structureel en onopgelost.
  • Het EU-VS Data Privacy Framework dekt commerciële overdrachten. Over opsporings- of inlichtingentoegang zegt het niets.
  • Nederlandse zorgverleners (NEN 7510), overheidstoeleveranciers (BIO) en juridische en financiële dienstverleners voelen de meeste druk.
  • De belangrijkste soevereiniteitsvraag: waar is het uiteindelijke moederbedrijf van de provider gevestigd?
  • Providers met EU-hoofdkantoor (Hetzner, Leaseweb, OVHcloud en gespecialiseerde managed hosts) vallen structureel buiten het bereik van de CLOUD Act.

Datasoevereiniteit past in een bredere Europese regelgevingsgolf, naast de NIS2-richtlijn en AVG-consentvereisten. Wil je je hostinginfrastructuur voor gereguleerde workloads laten beoordelen? Neem dan gerust contact op.

Terugkerende server- of deploymentproblemen?

Ik help teams productie betrouwbaar maken met CI/CD, Kubernetes en cloud—zodat fixes blijven en deploys geen stress meer zijn.

Bekijk DevOps consultancy

Gerelateerde artikelen

  1. NIS2 voor hostingproviders en hun klanten: wat verandert er concreet

    De EU NIS2-richtlijn schaalt cloud- en hostingproviders in als essentiële entiteiten, de zwaarste categorie. Wat dat betekent voor providers, hun klanten en de mogelijke boetes.

    1453 woorden
  2. Waarom je WordPress-contactformulier e-mails in spam belanden (en hoe je dat oplost)

    Je contactformulier werkt prima, maar de e-mails komen niet aan. Het probleem zit niet in de plugin. Het zit in hoe WordPress e-mail verstuurt.

    2245 woorden
  3. WordPress plugins zijn je grootste beveiligingsrisico: 331 kwetsbaarheden in één week

    In één week in maart 2026 werden 331 nieuwe WordPress-kwetsbaarheden ontdekt, vrijwel allemaal in plugins. Dit artikel ontleedt de cijfers, laat zien hoe plugin-aanvallen werken en wat je eraan kunt doen.

    1568 woorden