Trust Center Datasoevereiniteit: EU-hosting vs. EU-soevereiniteit
Uw Trust Center bevat penetratietestraporten, beveiligingsarchitectuurdetails en nalevingsbewijzen. 'EU-gehost' betekent niet wat u denkt dat het betekent.
De meeste Amerikaanse Trust Center-platformen bieden nu EU-hosting. Het vinkje bestaat. Het datacenter staat in Frankfurt of Dublin. Uw inkoopteam ziet "EU-gehost" en gaat verder.
Maar dataresidentie en datasoevereiniteit zijn niet hetzelfde. En voor een Trust Center specifiek — een platform dat uw meest gevoelige beveiligingsdocumentatie opslaat en deelt — is het onderscheid commercieel en juridisch consequent.
Het onderscheid
Dataresidentie betekent dat uw gegevens fysiek in de EU worden opgeslagen. De servers staan in Europese datacenters. De bits leven op Europese bodem.
Datasoevereiniteit betekent dat uw gegevens onderworpen zijn aan Europese juridische jurisdictie — en uitsluitend Europese juridische jurisdictie. Geen buitenlandse overheid kan de leverancier dwingen uw gegevens over te dragen onder hun eigen nationale wetgeving.
U kunt residentie hebben zonder soevereiniteit. Een in de VS gevestigd bedrijf dat EU-datacenters exploiteert, biedt residentie. Maar als Amerikaanse juridische entiteit blijft het onderworpen aan Amerikaanse wetgeving — inclusief de CLOUD Act.
U kunt geen soevereiniteit hebben zonder residentie. Maar residentie alleen is niet genoeg.
Waarom dit meer uitmaakt voor Trust Centers
Elke SaaS-tool wordt geconfronteerd met de residentie-vs.-soevereiniteitsvraag. Maar voor de meeste categorieën — projectmanagement, CRM, communicatie — is de gegevensgevoeligheid matig. Het praktische risico van een CLOUD Act-verzoek gericht op uw Jira-tickets is laag.
Trust Centers zijn anders. Ze bevatten per definitie de meest gevoelige documentatie over uw beveiligingshouding:
- Penetratietestraporten met details over kwetsbaarheden en herstelsatus
- Beveiligingsarchitectuurdocumentatie die uw infrastructuur beschrijft
- Nalevingsbewijzen inclusief auditrapporten, maatregelbeoordelingen en certificeringsscopes
- Subverwerkerlijsten met gegevensstromen en verwerkingslocaties
- Incidentresponsdocumentatie inclusief post-incidentanalyses
- Interne beleidsamenvattingen die de structuur van uw beveiligingsprogramma onthullen
Dit is precies het soort informatie waardoor de soevereiniteitsvraag operationeel relevant wordt, niet theoretisch. Als een buitenlandse overheid juridisch toegang kan afdwingen tot uw Trust Center-gegevens, kan zij een gestructureerd, actueel, volledig overzicht van uw beveiligingshouding benaderen — iets waarvoor normaal een aanzienlijke inlichtingeninspanning nodig zou zijn.
Het CLOUD Act-probleem
De Clarifying Lawful Overseas Use of Data Act (CLOUD Act, 2018) geeft Amerikaanse wetshandhaving de bevoegdheid om in de VS gevestigde bedrijven te dwingen gegevens te produceren die in hun bezit, bewaring of controle zijn — ongeacht waar die gegevens fysiek zijn opgeslagen.
Dit creëert een direct conflict met de AVG. Artikel 48 stelt dat elke overdracht van persoonsgegevens naar een autoriteit van een derde land op basis van een buitenlandse rechterlijke of administratieve uitspraak alleen erkend of afdwingbaar is indien gebaseerd op een internationale overeenkomst. De CLOUD Act is niet gebaseerd op een dergelijke overeenkomst.
De leverancier zit gevangen tussen twee rechtssystemen:
- Amerikaanse wetgeving zegt: Draag de gegevens over bij een geldige juridische opdracht.
- EU-wetgeving zegt: Draag de gegevens niet over tenzij het verzoek via de juiste wederzijdse juridische bijstandskanalen verloopt.
Voor uw Trust Center creëert dit een praktisch probleem: uw meest gevoelige beveiligingsdocumentatie wordt opgeslagen op een platform waar een buitenlandse overheid een juridisch mechanisme heeft om toegang te eisen, ongeacht waar de gegevens fysiek zich bevinden.
"Maar dit is nog nooit gebeurd bij een Trust Center"
Dat is waarschijnlijk waar. CLOUD Act-verzoeken zijn gericht op communicatie, financiële gegevens en strafrechtelijk bewijs — niet op Trust Center-platformen. Maar het juridische mechanisme bestaat, en de nalevingsblootstelling is reëel.
Belangrijker nog: dit is al een inkoopfactor. Europese enterprise-kopers — vooral in gereguleerde sectoren — nemen CLOUD Act-blootstelling op in hun leveranciersrisicobeoordelingen. Als uw Trust Center-platform CLOUD Act-risico creëert, stroomt dat risico naar elke klant die op uw Trust Center vertrouwt voor hun eigen toeleveringsketennaleving.
Het gaat niet om of een verzoek zal plaatsvinden. Het gaat om of het structurele risico bestaat en of de nalevingsteams van uw klanten het zullen signaleren.
Wat "EU-gehost" werkelijk betekent bij VS-leveranciers
Amerikaanse Trust Center-platformen bieden doorgaans EU-hosting via een van deze configuraties:
EU-datacenterregio
De leverancier exploiteert (of huurt) servers in EU-datacenters. Uw gegevens in rust bevinden zich in de EU. Dit is echte dataresidentie.
Maar de bedrijfsentiteit van de leverancier — de rechtspersoon die de infrastructuur beheert, de ingenieurs in dienst heeft en reageert op juridische bevelen — bevindt zich in de VS. De CLOUD Act volgt de bedrijfsentiteit, niet de gegevens.
EU-specifieke instantie
Sommige leveranciers bieden een aparte EU-instantie — soms met een apart domein, apart ondersteuningsteam of aparte operationele grenzen. Dit is een sterkere houding dan een eenvoudige regioselectie.
Maar als de EU-instantie wordt bediend door een dochteronderneming van een Amerikaans moederbedrijf, kan de CLOUD Act het moederbedrijf bereiken. En als de ondersteunings-, engineering- of operationele teams worden gedeeld tussen VS- en EU-instanties, kan de praktische scheiding minder robuust zijn dan de marketing suggereert.
Enterprise-tier EU-hosting
Veel VS-leveranciers bieden EU-hosting alleen aan op enterprise-prijsniveaus. Dit betekent:
- Startups en midmarketbedrijven worden standaard op VS-hosting gezet
- EU-hosting is een upsell, geen standaard
- De architectuur van het bedrijf is niet EU-first ontworpen; EU-hosting is later toegevoegd
Voor de Trust Center-markt specifiek creëert dit een ironische dynamiek: de bedrijven die het meest getroffen worden door NIS2 (de lange staart van belangrijke entiteiten, velen midmarket) zijn degenen die het minst waarschijnlijk toegang hebben tot EU-hostingfuncties.
Wat echte datasoevereiniteit vereist
Om echte datasoevereiniteit te bieden, heeft een Trust Center meer nodig dan een datacenter in de EU.
EU-bedrijfsstructuur
De leverancier moet gevestigd zijn in een EU-lidstaat — niet als dochteronderneming van een Amerikaans moederbedrijf, maar als entiteit waarvan de uiteindelijke juridische verplichtingen bij Europese autoriteiten liggen. Dit is de enige structurele verdediging tegen extraterritoriale gegevenstoegangwetten.
Standaard EU-infrastructuur
EU-hosting moet de standaardconfiguratie zijn, geen enterprise-upsell. Als u moet onderhandelen of extra betalen voor EU-hosting, is het platform niet ontworpen voor EU-soevereiniteit — het is ontworpen voor VS-operaties met EU als secundaire markt.
Operationele soevereiniteit
Ondersteuningsinteracties, logverwerking, analytics en operationele gegevens moeten allemaal binnen EU-jurisdictie blijven. Een platform dat uw Trust Center-content in de EU opslaat maar operationele gegevens in de VS verwerkt, heeft een soevereiniteitsgat.
Soevereiniteit in de subverwerkerketene
De subverwerkers van de leverancier doen er ook toe. Als het Trust Center-platform VS-gebaseerde analytics-, monitoring- of infrastructuurdiensten gebruikt, kunnen die subverwerkers CLOUD Act-blootstelling creëren zelfs als de primaire leverancier EU-gebaseerd is. Een echt soeverein Trust Center opereert met een EU-subverwerkerketene.
Hoe u soevereiniteit in de praktijk beoordeelt
Bij het beoordelen van de soevereiniteitshouding van een Trust Center-platform, stelt u deze vragen:
Bedrijfsstructuur: Waar is de leverancier gevestigd? Is er een Amerikaans moederbedrijf, holdingmaatschappij of meerderheidsinvesteerder die Amerikaanse juridische blootstelling creëert?
Hostingstandaard: Is EU-hosting de standaard voor alle klanten, of is het een enterprise-tier functie? Wat gebeurt er als u op een lagere tier start — worden uw gegevens standaard op VS-hosting gezet?
Operationele gegevens: Waar worden logs, analytics, ondersteuningstickets en operationele metadata verwerkt? Valt dit onder dezelfde EU-hostingtoezegging als de Trust Center-content zelf?
Subverwerkers: Wie zijn de subverwerkers van de leverancier? Waar zijn ze gevestigd en waar verwerken ze gegevens? Is de subverwerkerlijst openbaar, of moet u een NDA tekenen om die te zien?
Incidentresponse: Als een buitenlandse overheid een gegevenstoegangverzoek doet, wat is het gedocumenteerde proces van de leverancier? Hebben ze een transparantierapport gepubliceerd?
Contractvoorwaarden: Adresseert de verwerkersovereenkomst expliciet CLOUD Act-risico? Verbindt de leverancier zich ertoe extraterritoriale verzoeken aan te vechten?
De inkooprealiteit
Dit is geen abstract juridisch debat. Het is een inkoopfactor die elk jaar meer consequenties heeft.
Onder NIS2 moeten essentiële en belangrijke entiteiten toeleveringsketenbeveiliging adresseren. Hun leveranciersrisicobeoordelingen omvatten steeds vaker datasoevereiniteitsevaluatie — niet alleen "waar zijn de gegevens" maar "wie kan er juridisch bij."
Onder DORA moeten financiële entiteiten ICT-derdenrisico evalueren inclusief de juridische en regelgevingsomgeving van de jurisdictie van de leverancier. Een Trust Center op door de VS gecontroleerde infrastructuur creëert een risicofactor die financiële entiteiten moeten documenteren en rechtvaardigen.
Europese functionarissen voor gegevensbescherming, CISO's en inkoopteams stellen deze vragen. Ze nemen soevereiniteitscriteria op in aanbestedingen. Ze signaleren CLOUD Act-blootstelling in leveranciersrisicoregisters.
Als uw Trust Center deze blootstelling creëert voor uw klanten, wordt het hun nalevingsprobleem. En nalevingsproblemen versnellen deals niet — ze vertragen ze.
Bronnen
- US CLOUD Act (H.R. 4943) — Extraterritoriale gegevenstoegangbepalingen.
- AVG artikel 48 — Overdrachten niet geautoriseerd door Unierecht.
- AVG artikel 28 — Verwerkerverplichtingen en transparantie over subverwerkers.
- Richtlijn (EU) 2022/2555 (NIS2) — Verplichtingen voor toeleveringsketenbeveiliging.
- Verordening (EU) 2022/2554 (DORA) — ICT-derdenrisicobeheer, inclusief jurisdictiebeoordeling.
- Schrems II (Zaak C-311/18) — HvJ EU-uitspraak die het Privacy Shield ongeldig verklaarde, waarmee een hogere lat voor internationale gegevensoverdrachten werd gesteld.