Dataresidentie vs datasoevereiniteit: wat EU-SaaS-kopers verkeerd begrijpen

Dataresidentie vs datasoevereiniteit: wat EU-SaaS-kopers verkeerd begrijpen

Bij het beoordelen van een SaaS-leverancier klinkt "EU-gehost" geruststellend. De data blijft in Europa. AVG-vriendelijk. Vinkje gezet.

Zo simpel is het niet. De meeste leveranciers verkopen u dataresidentie waar u in werkelijkheid datasoevereiniteit nodig hebt. Het onderscheid is niet academisch. Onder de CLOUD Act, AVG-artikel 48, de EU Data Act (hoofdstuk VII) en het post-Schrems II-regime is ze door elkaar halen een inkoopfout op procurementniveau.

Belangrijkste punten

• Dataresidentie = waar de bits liggen. Datasoevereiniteit = welk recht toegang regelt.
• Een in de VS opgerichte aanbieder valt onder de CLOUD Act, ook als de data fysiek in Frankfurt of Dublin staan.
• AVG-artikel 48 verbiedt het overdragen van persoonsgegevens aan niet-EU-autoriteiten zonder internationale overeenkomst — daarmee staan EU-klanten van Amerikaanse aanbieders in een structureel doorlopend conflict.
• De EU Data Act, hoofdstuk VII, is van toepassing sinds 12 september 2025 en verplicht cloud- en dataverwerkingsaanbieders die in de EU opereren onrechtmatige toegangsverzoeken van buiten de EU te betwisten.
• Voor NIS2-essentiële entiteiten, DORA-financiële entiteiten en gereguleerde sectoren in VK en Noorwegen is dit onderscheid nu een leveranciersselectiecriterium.

Wat is het verschil?

Dataresidentie is de geografische opslaglocatie. Een feitelijke vraag: welk datacenter, welke regio, welk land.

Datasoevereiniteit is de juridische bevoegdheid die de data regiert. Een jurisdictievraag: welke rechtbanken kunnen bevelen uitvaardigen, welk recht geldt, welke overheid kan openbaarmaking afdwingen.

Residentie zonder soevereiniteit is mogelijk. Een in de VS opgerichte vennootschap met EU-datacenters levert residentie. Als Amerikaanse rechtspersoon blijft zij onderworpen aan Amerikaans recht — inclusief de CLOUD Act.

Soevereiniteit zonder residentie is niet mogelijk. Maar residentie alleen is niet genoeg.¹

Het CLOUD Act-probleem

De Clarifying Lawful Overseas Use of Data Act (CLOUD Act, 2018) machtigt Amerikaanse opsporingsinstanties om in de VS opgerichte aanbieders te dwingen data uit te leveren in hun "bezit, beheer of onder controle" — ongeacht waar die fysiek staan.² In de praktijk kan een Amerikaans bevel een datacenter in Dublin bereiken, eventueel met een gag order.

Dat schept een direct conflict met de Algemene Verordening Gegevensbescherming:

• AVG-artikel 48 stelt dat overdrachten van persoonsgegevens aan een autoriteit van een derde land op basis van een buitenlandse rechterlijke of administratieve uitspraak alleen worden erkend of zijn afdwingbaar als ze zijn gebaseerd op een internationale overeenkomst (zoals een MLAT). De CLOUD Act is geen dergelijke overeenkomst.³
• Schrems II (zaak C-311/18, juli 2020): het HvJ-EU vernietigde het EU-VS Privacy Shield juist omdat Amerikaanse surveillancewetten de Amerikaanse autoriteiten toegang gaven tot persoonsgegevens van EU-burgers op een manier die onverenigbaar was met de AVG.⁴ Het Hof stelde vast: geografische locatie vervangt geen jurisdictionele controle.

De EDPB heeft het resulterende structurele risico meermaals benadrukt. Een aanbieder die tussen Amerikaans en EU-recht wordt heen en weer getrokken kan uw klanten geen schoon antwoord leveren.

"Sovereign cloud" is niet altijd soeverein

Amerikaanse aanbieders hebben de vraag opgepikt. Velen marketen nu "sovereign cloud"- of "EU data residency"-tiers. EU-servers ophangen aan een Amerikaanse moeder verandert de jurisdictievraag niet — de CLOUD Act blijft van toepassing.

Het EU-VS Data Privacy Framework van 2023 zou helpen, maar twee eerdere mechanismen (Safe Harbor, Privacy Shield) zijn al gesneuveld. Een langetermijnsoevereiniteitsstrategie bouwen op een derde poging is constructief broos.⁵

De EU Data Act draait de schroef aan

De belangrijkste ontwikkeling van 2025 is de EU Data Act (Verordening (EU) 2023/2854).⁶ Hoofdstuk VII, van toepassing sinds 12 september 2025, verplicht in de EU opererende cloud- en dataverwerkingsaanbieders om:

• technische, juridische en organisatorische maatregelen in te voeren ter voorkoming van onrechtmatige toegang door niet-EU-overheden tot niet-persoonlijke data in de EU,
• toegangsverzoeken van derde landen te betwisten die in strijd zijn met EU-recht,
• de maatregelen te documenteren en aan klanten en toezichthouders beschikbaar te stellen.

Dit is tot nu toe het sterkste directe Europese antwoord op de CLOUD Act. Voor een in de VS opgerichte aanbieder die in de EU opereert, is het structureel lastig om zowel CLOUD Act-bevelen als hoofdstuk VII van de Data Act na te leven — de aanbieder is nu juridisch verplicht het Amerikaanse bevel te betwisten in plaats van stilzwijgend mee te werken.

Uw leverancier kan EU-gevestigd zijn — zijn infrastructuur niet

Hier struikelen veel kopers. Talrijke in de EU opgerichte SaaS-leveranciers draaien op AWS, Azure of Google Cloud. Anderen leunen op Amerikaanse onderaannemers voor analytics, support of integraties.

Raakt uw data ergens in de keten een Amerikaans gecontroleerde entiteit — primaire infrastructuur, supporttooling, foutloggen, AI-inferentie — dan geldt voor die schakel dezelfde CLOUD Act-vraag. De sublijst zegt meer over de soevereiniteitspositie van een leverancier dan de marketingsite. AVG-artikel 28 maakt die sublijst tot contractuele verplichting, niet tot beleefdheid.⁷

Voor trust center-platforms is dit nog structureler. Zie Trust Center datasoevereiniteit: EU-hosting vs EU-soevereiniteit.

Is EU-hosting standaard of "alleen enterprise"?

De moeite van het checken waard. Veel Amerikaanse leveranciers behandelen dataresidentie als premium-feature. Moet u met sales praten om te weten waar uw data staan, dan zegt dat veel over hoe centraal de EU is in het platformontwerp. EU-soevereiniteit als enterprise-toeslag = geen EU-soevereiniteit — wel EU-residentie op aanvraag.

En het VK en Noorwegen?

Europese compliance is breder dan de EU.

• Verenigd Koninkrijk. UK GDPR is na Brexit behouden en spiegelt grotendeels AVG-artikelen 44–50. De Data Protection Act 2018 versterkt overdrachtsverplichtingen; het Information Commissioner's Office (ICO) publiceert eigen richtlijnen voor internationale overdrachten. Het Cyber Security and Resilience Bill, ingediend bij het Parlement op 12 november 2025 en in 2026 in behandeling, zou NIS-achtige verplichtingen uitbreiden naar managed service providers en kritieke leveranciers, en daarmee de lat aan de ketenkant verder verhogen.⁸⁹
• Noorwegen / EER. Noorwegen implementeert de AVG via de EER-overeenkomst, met Datatilsynet als gegevensbeschermingsautoriteit en Nasjonal sikkerhetsmyndighet (NSM) voor cybersecurity. Noorse publieke kopers en gereguleerde sectoren beoordelen blootstelling aan Amerikaanse aanbieders na Schrems II steeds vaker; Datatilsynets Google Analytics-richtlijn is een concreet voorbeeld.¹⁰

Beantwoordt een leverancier UK- en Noorse soevereiniteitsvragen niet apart van de EU-vraag, dan is dat een pan-Europese blinde vlek.

Welke vragen u écht moet stellen

Telt soevereiniteit voor uw use case, vraag dan:

• Waar is de leverancier opgericht? Niet de "based in" uit de marketing — de feitelijke rechtspersoon.
• Wie zijn de subverwerkers en waar zijn die opgericht? Bij voorkeur publieke lijst.
• Is EU-hosting standaard, of moet u extra betalen?
• Wie houdt de encryptiesleutels? Beheert de klant ze, dan kan de aanbieder geen leesbare data uitleveren, ook niet onder dwang.
• Publiceert de leverancier een transparency report? Gedocumenteerde overheidsverzoeken, weigeringen, uitkomsten.
• Wat is het proces onder hoofdstuk VII van de EU Data Act? Betwist de leverancier een CLOUD Act-bevel op EU-klantdata?

Niet alles vereist deze diepgang

Voor een marketingsite of publieke landingpage is het risico klein. Kies de eenvoudigste tool en ga door.

Bij gevoelige klantdata, gereguleerde sectoren (financiële diensten onder DORA, essentiële entiteiten onder NIS2, publieke sector, zorg) of vendor-of-record-posities binnen andermans complianceketen wegen de vragen zwaarder. Residentie is een vinkje. Soevereiniteit is werk.

Publiceert u op schaal beveiligings- en compliancebewijs, dan draagt het door u gekozen trust-centerplatform deze blootstelling namens uw klanten. Dat is een van de redenen waarom in Europa gebouwde trust-centerplatforms — zie onze Trust Center Software gids 2026 en Waarom Europese bedrijven een Europees Trust Center nodig hebben — vandaag een serieuze inkoopkeuze zijn, geen nationalistische voorkeur.

---

Bronnen & referenties

---

Verder lezen

• Trust Center datasoevereiniteit: EU-hosting vs EU-soevereiniteit
• AVG artikelen 28, 32, 33 en 34
• SafeBase-alternatief voor EU-bedrijven
• Beste Trust Center Platforms in 2026
• Trust Center Software: de complete gids voor 2026
• Woordenlijst datasoevereiniteit

Footnotes

1. IBM. "Data Sovereignty vs. Data Residency". ↩

2. US CLOUD Act (H.R. 4943). Congress.gov. ↩

3. AVG artikel 48. EUR-Lex. ↩

4. HvJ-EU, arrest in zaak C-311/18 (Schrems II), 16 juli 2020. CURIA. ↩

5. Orrick. "Data Localization and the Sovereign Cloud: EU Cloud Regulations Explained" (januari 2026). ↩

6. Verordening (EU) 2023/2854 (Data Act). EUR-Lex. Hoofdstuk VII, van toepassing sinds 12 september 2025. ↩

7. AVG artikel 28. EUR-Lex. ↩

8. UK Information Commissioner's Office. "International data transfers". ↩

9. UK Department for Science, Innovation and Technology. "Cyber Security and Resilience Bill". ↩

10. Datatilsynet. "Google Analytics kan være ulovlig" (2022). ↩