"Onze data staat in Nederland." Het is de meest gehoorde geruststelling als het over privacy en beveiliging gaat. En het klopt vaak. Je hostingprovider heeft een datacenter in Amsterdam of Groningen, je data verlaat het land niet. Probleem opgelost.
Alleen is het probleem niet opgelost. Want datalocatie is een geografisch gegeven. Databescherming is een juridisch gegeven. En die twee overlappen veel minder dan je zou willen.
Het verschil tussen locatie, residentie en soevereiniteit
Er worden drie termen door elkaar gebruikt die iets heel anders betekenen.
Datalocatie (data residency) gaat over waar data fysiek is opgeslagen. Op welke server, in welk datacenter, in welk land. Het is een technisch feit.
Datajurisdictie gaat over welke wetten van toepassing zijn op die data. Dat wordt niet bepaald door waar de server staat, maar door wie de server beheert. Een Amerikaanse provider met een datacenter in Amsterdam valt nog steeds onder Amerikaans recht.
Datasoevereiniteit is het breedste begrip. Het gaat over de volledige zeggenschap over je data: wie er toegang toe heeft, onder welke wetgeving het valt, wie de encryptiesleutels beheert, en of je die zeggenschap kunt afdwingen als het erop aankomt.
De meeste organisaties regelen datalocatie en denken dat ze daarmee datasoevereiniteit hebben. Dat is niet zo.
Waarom locatie alleen niet beschermt
Het Schrems II-arrest van het Europese Hof van Justitie (juli 2020) maakte pijnlijk duidelijk dat locatie niet genoeg is. Het Hof oordeelde dat het Privacy Shield-verdrag tussen de EU en VS ongeldig was, omdat Amerikaanse surveillancewetgeving onvoldoende bescherming bood voor Europese persoonsgegevens. De kern van het oordeel: het gaat niet om waar data staat, maar om wie er bij kan.
De CLOUD Act bevestigt dat principe vanuit de andere kant. Een Amerikaans bedrijf moet data overdragen aan Amerikaanse autoriteiten als dat via een rechterlijk bevel gevorderd wordt, ongeacht waar die data fysiek is opgeslagen. Je kunt je data in een kluis in Rotterdam zetten, maar als de sleutel in handen is van een bedrijf in Seattle, heb je een jurisdictieprobleem.
De Algemene Rekenkamer concludeerde in januari 2025 dat de Nederlandse overheid dit probleem onvoldoende adresseert. Meer dan de helft van de belangrijkste public cloud-diensten van het Rijk wordt ingekocht bij Amerikaanse bedrijven. Bij 67% van die diensten is geen strategische risicoafweging gemaakt. De data staat misschien in Nederland. De controle niet.
Drie niveaus van databescherming
Datalocatie ≠ databescherming. Pas bij het derde niveau heb je werkelijke zeggenschap.
De vijf pijlers van datasoevereiniteit
Als locatie niet genoeg is, wat dan wel? Datasoevereiniteit rust op vijf pijlers. Pas als je ze alle vijf adresseert, heb je werkelijke controle over je data.
1. Jurisdictie van de provider
Onder welke wetgeving valt het moederbedrijf van je provider? Niet de verkooporganisatie, niet de Europese dochter, maar het moederbedrijf. Als dat in de VS, China of een ander land buiten de EU gevestigd is, kunnen de wetten van dat land van toepassing zijn op jouw data. Het maakt niet uit of de server in Almere staat.
De oplossing is niet om Amerikaanse diensten categorisch te vermijden. Soms is dat niet realistisch. Maar je moet weten wat de juridische consequenties zijn en die afwegen tegen het risico voor jouw specifieke data.
2. Encryptie en sleutelbeheer
Als je data versleuteld is en jij de sleutel beheert, kan je provider de data niet in leesbare vorm overdragen, ook niet onder dwang van een buitenlandse wet. Customer-managed encryption keys (CMEK) zijn daarmee een van de weinige technische maatregelen die een juridisch gat kunnen dichten.
Maar let op: niet alle versleuteling is gelijk. Server-side encryption waarbij de provider de sleutel beheert biedt geen bescherming tegen een CLOUD Act-bevel. Alleen client-side encryption of CMEK met een externe key manager buiten de jurisdictie van de provider geeft je die bescherming.
3. Contractuele controle
Een verwerkersovereenkomst is een minimum. Maar datasoevereiniteit vraagt meer. Heb je invloed op welke subverwerkers worden ingezet? Word je geïnformeerd bij wijzigingen? Kun je bezwaar maken? En wat gebeurt er met je data als je het contract beeindigt? Is verwijdering aantoonbaar? Krijg je een migratietermijn?
De details van je contract bepalen of je werkelijk controle hebt of alleen op papier.
4. Operationele onafhankelijkheid
Kun je van provider wisselen zonder dat je vastloopt? Vendor lock-in is een reeel soevereiniteitsrisico. Als je applicaties zo diep geintegreerd zijn met een specifiek platform dat migratie maanden kost en miljoenen euro's, dan heb je geen soevereiniteit. Je hebt een afhankelijkheid.
Gebruik van open standaarden, draagbare formaten en containerisatie vermindert die afhankelijkheid. Het is niet altijd praktisch, maar het is wel een bewuste keuze die je moet maken.
5. Transparantie en audit
Weet je wie toegang heeft tot je data? Kun je dat verifieren? Biedt je provider auditlogs? Kun je (of een derde partij) de beveiliging laten auditen? Bij een Nederlands bedrijf met een eigen datacenter is dat te regelen. Bij een hyperscaler met duizenden engineers in tien landen wordt dat lastiger.
Certificeringen als ISO 27001 of SOC 2 zijn een proxy voor die transparantie, maar geen vervanging. Ze vertellen je dat een onafhankelijke auditor op een bepaald moment tevreden was. Ze vertellen je niet wat er vandaag in de praktijk gebeurt.
De Data Act: nieuwe EU-regels vanaf september 2025
Naast de AVG en NIS2 komt er nog een wet die relevant is voor datasoevereiniteit. De Europese Data Act is sinds 12 september 2025 van toepassing. Deze verordening regelt onder andere het recht om van cloudprovider te wisselen. Providers moeten technische, contractuele en organisatorische barrières voor migratie wegnemen. Uitstapkosten worden afgebouwd naar nul. Interoperabiliteit wordt verplicht.
De Data Act bevat ook een bepaling die cloudproviders verbiedt om data over te dragen aan buitenlandse autoriteiten als dat in strijd is met EU-recht, tenzij er een internationaal verdrag aan ten grondslag ligt. Dat versterkt de positie van Europese klanten tegenover buitenlandse jurisdictieclaims.
De 5 pijlers van datasoevereiniteit
Datasoevereiniteit = alle vijf pijlers samen. Locatie alleen dekt er maar een.
Wat betekent dit in de praktijk?
Stel je runt een middelgrote organisatie in de gezondheidszorg. Patientdata staat op servers in een Nederlands datacenter. De hostingprovider is Nederlands. De verwerkersovereenkomst is getekend. Alles lijkt in orde.
Maar de provider gebruikt Cloudflare als CDN. Dat is een Amerikaans bedrijf. De back-ups gaan naar AWS S3 in de EU-regio Frankfurt. Dat is ook een Amerikaans bedrijf. De monitoringtool draait op Datadog. Amerikaans. Het ticketsysteem loopt via Zendesk. Amerikaans.
Niet een van die diensten is fout. Maar het zijn allemaal subverwerkers die onder Amerikaanse jurisdictie vallen. En als je verwerkersovereenkomst geen specifieke afspraken bevat over deze keten, heb je een compliance-gat dat groter is dan je denkt.
De oplossing hoeft niet radicaal te zijn. Je hoeft niet elke Amerikaanse dienst te vervangen. Maar je moet weten waar je afhankelijkheden zitten, wat het risico is per dienst, en welke mitigerende maatregelen je hebt getroffen. Dat is het verschil tussen datalocatie en datasoevereiniteit.
De kern
"Data in Nederland" is een begin, geen eindpunt. Het geeft je een geografisch voordeel: lage latency, bekendheid met de markt, en een datacenter dat je desnoods kunt bezoeken. Maar het beschermt je niet tegen juridische claims vanuit landen buiten de EU, niet tegen vendor lock-in, en niet tegen een subverwerker die je data doorsluist naar een platform waarvan je het bestaan niet kende.
Datasoevereiniteit is geen product dat je koopt. Het is een keten van bewuste keuzes: welke provider, welke jurisdictie, welke encryptie, welke contractuele afspraken, en welke exitstrategie. Pas als je die vijf vragen kunt beantwoorden, weet je echt wie er over je data gaat.
Wil je volledige controle over je data? Bekijk onze aanpak voor digitale soevereiniteit of ontdek de voordelen van een private cloud oplossing.