EU-datasoevereiniteit vs. dataresidentie: wat SaaS-kopers vaak verkeerd begrijpen
Wanneer u SaaS-leveranciers beoordeelt, klinkt 'EU-gehost' geruststellend. Uw gegevens blijven in Europa. AVG-vriendelijk. Vakje afgevinkt. Maar veel leveranciers verkopen dataresidentie terwijl u in werkelijkheid datasoevereiniteit nodig hebt.
EU-datasoevereiniteit vs. dataresidentie: wat SaaS-kopers vaak verkeerd begrijpen
Wanneer u SaaS-leveranciers beoordeelt, klinkt "EU-gehost" als een geruststellend signaal. Uw gegevens blijven in Europa. AVG-vriendelijk. Vakje afgevinkt.
Maar veel leveranciers verkopen dataresidentie terwijl u eigenlijk datasoevereiniteit nodig hebt.
Wat is het verschil?
Dataresidentie beschrijft alleen waar de servers staan. Datasoevereiniteit gaat over welke juridische macht over uw gegevens geldt. U kunt gegevens in Frankfurt opslaan en ze toch onder Amerikaans recht laten vallen. Dat is precies de kloof die veel kopers missen.
Waar de CLOUD Act in beeld komt
De Amerikaanse CLOUD Act (2018) geeft Amerikaanse autoriteiten de mogelijkheid om Amerikaanse bedrijven te dwingen gegevens te overhandigen die overal zijn opgeslagen, ook op EU-servers. Dat geldt voor elk bedrijf met juridische of operationele aanwezigheid in de Verenigde Staten.
Dat is geen onbeperkte vrije doorgang. Verzoeken voor inhoud vereisen een bevel, juridische onderbouwing en een rechter. Bedrijven zoals Microsoft en AWS zeggen dat ze verzoeken aanvechten wanneer die botsen met lokaal recht.
Het probleem blijft bestaan: als uw leverancier onder Amerikaanse jurisdictie valt, kunnen uw gegevens nog steeds onderdeel worden van een Amerikaans juridisch proces. Soms zelfs met een zwijgplicht. De Europese privacytoezichthouders hebben al aangegeven dat dit op gespannen voet kan staan met de AVG. Er is geen nette, definitieve oplossing.
Een 'soevereine cloud' is niet automatisch soeverein
Amerikaanse leveranciers hebben de vraag allang gezien. Veel van hen verkopen inmiddels 'soevereine cloud'- of EU-dataresidentie-opties. Maar Europese servers toevoegen aan een bedrijf dat onder Amerikaans recht valt, verandert de jurisdictievraag niet. De CLOUD Act blijft van toepassing.
Het EU-VS Data Privacy Framework (2023) moest helpen, maar eerdere kaders zijn ook ingestort. Het is lastig om een langetermijnstrategie te bouwen op zo'n onzekere basis.
Uw leverancier kan Europees zijn. Zijn infrastructuur misschien niet.
Hier gaat het vaak mis. Veel Europese leveranciers draaien op AWS, Azure of Google Cloud. Anderen gebruiken Amerikaanse tools voor analytics, support of integraties.
Als uw gegevens ergens in de keten Amerikaanse entiteiten raken, gelden dezelfde vragen. De subverwerkerlijst zegt vaak meer dan de homepage van de leverancier.
Is EU-hosting standaard of alleen voor enterprise?
Ook dat moet u controleren. Veel leveranciers behandelen dataresidentie als premiumfunctionaliteit. Als u eerst met sales moet praten om te ontdekken waar uw gegevens leven, zegt dat al iets over de prioriteit van het onderwerp.
Welke vragen moet u concreet stellen?
Als soevereiniteit voor uw use case belangrijk is, stel dan minimaal deze vragen:
Waar is de leverancier juridisch gevestigd? Niet waar de marketing zegt dat het bedrijf 'gebaseerd' is, maar de echte juridische entiteit.
Wie zijn de subverwerkers? En onder welke jurisdicties vallen die?
Is EU-hosting de standaard of een extra upsell?
Wie beheert de encryptiesleutels? Als u ze zelf beheert, kan de leverancier geen leesbare gegevens overhandigen, zelfs niet als dat wordt afgedwongen.
Niet alles vereist dit niveau van controle
Voor veel use cases blijft het risico laag. Als u alleen een marketingwebsite runt, is dit detailniveau waarschijnlijk niet nodig.
Maar als u gevoelige klantgegevens verwerkt, in een gereguleerde sector werkt of aan overheden verkoopt, wordt de vraag veel belangrijker. Dat geldt nog sterker nu NIS2 strengere eisen stelt aan gegevensbeveiliging en toezicht op de toeleveringsketen.
Residentie vinkt een vakje af. Soevereiniteit vereist een diepere beoordeling.