Wat is datasoevereiniteit?

Datasoevereiniteit is het principe dat gegevens onderworpen zijn aan de wetten en governancestructuren van het land of de regio waar ze worden verzameld of opgeslagen. Voor Europese bedrijven betekent dit ervoor zorgen dat gegevens die binnen de EU worden opgeslagen of verwerkt, onder de EU-rechtsorde vallen en niet toegankelijk zijn voor buitenlandse overheden of entiteiten zonder behoorlijke rechtsgang onder Europees recht. Datasoevereiniteit gaat verder dan fysieke locatie — het omvat juridische controle, jurisdictionele bescherming en governanceautoriteit over gegevens.

Wat is het verschil tussen datasoevereiniteit, dataresidentie en datalokalisatie?

Dataresidentie betekent dat gegevens worden opgeslagen op een specifieke geografische locatie (bijv. een EU-datacentrum). Datalokalisatie vereist dat gegevens binnen nationale grenzen blijven en verbiedt grensoverschrijdende doorgifte. Datasoevereiniteit is het breedste concept — het betekent dat gegevens onderworpen zijn aan het juridische kader van een specifiek rechtsgebied, ongeacht waar ze fysiek zijn opgeslagen. U kunt dataresidentie in de EU hebben zonder datasoevereiniteit als de cloudprovider onderworpen is aan buitenlandse wetten (zoals de US CLOUD Act) die gegevenstoegang kunnen afdwingen.

Waarom is de US CLOUD Act belangrijk voor Europese datasoevereiniteit?

De US Clarifying Lawful Overseas Use of Data (CLOUD) Act stelt de Amerikaanse rechtshandhaving in staat om in de VS gevestigde technologiebedrijven te dwingen gegevens te verstrekken die op hun servers zijn opgeslagen, ongeacht waar die gegevens fysiek zijn opgeslagen. Dit betekent dat gegevens die in een EU-datacentrum worden opgeslagen door een Amerikaanse cloudprovider mogelijk toegankelijk zijn voor Amerikaanse autoriteiten zonder EU-rechtsprocedures te volgen. Voor Europese bedrijven die gevoelige gegevens verwerken, creëert dit een direct conflict met de AVG en roept het vragen op over of door VS-providers gehoste gegevens werkelijk soeverein kunnen zijn.

Hoe verhoudt de AVG zich tot datasoevereiniteit?

De AVG vormt het juridische kader voor datasoevereiniteit in Europa. Belangrijke bepalingen omvatten: Hoofdstuk V (Artikelen 44-49) die internationale doorgifte van gegevens beperken; de vereiste van passende waarborgen bij doorgifte buiten de EU; Standaardcontractbepalingen (SCC's) en Bindende bedrijfsvoorschriften (BCR's) als doorgifte-mechanismen; en de verplichting om Transfer Impact Assessments (TIA's) uit te voeren om te beoordelen of bestemmingslanden adequaat beschermingsniveau bieden. Het Schrems II-arrest bevestigde dat de AVG effectieve soevereiniteit vereist, niet alleen contractuele beloften.

Wat zegt NIS2 over datasoevereiniteit?

NIS2 gebruikt de term 'datasoevereiniteit' niet direct, maar de vereisten voor beveiliging van de toeleveringsketen (Artikel 21(2)(d)) vereisen in feite soevereiniteitsoverwegingen. Essentiële en belangrijke entiteiten moeten de beveiliging van hun ICT-toeleveringsketens evalueren, inclusief de jurisdictionele risico's van derde-partij-providers. Dit betekent beoordelen of cloudproviders of softwareleveranciers onderworpen zijn aan buitenlandse wetten die gegevensbeveiliging of -beschikbaarheid kunnen compromitteren.

Hoe verschillen Europese soevereine cloudproviders van Amerikaanse hyperscalers?

Europese soevereine cloudproviders (zoals OVHcloud, IONOS, Hetzner, Scaleway en Open Telekom Cloud) zijn gevestigd en opgericht in de EU, waardoor ze uitsluitend onderworpen zijn aan EU-wetgeving. Amerikaanse hyperscalers (AWS, Azure, Google Cloud) zijn onderworpen aan de CLOUD Act ongeacht waar ze datacentra exploiteren. Sommige Amerikaanse providers bieden 'soevereine cloud'-producten aan (zoals AWS European Sovereign Cloud of Google Sovereign Cloud) die dit proberen aan te pakken door operationele scheiding, in de EU gevestigd personeel en lokaal sleutelbeheer — maar de vraag over juridische jurisdictie blijft onderwerp van debat.

Wat is GAIA-X en hoe verhoudt het zich tot datasoevereiniteit?

GAIA-X is een Europees initiatief om een gefedereerde, open data-infrastructuur te ontwikkelen die datasoevereiniteit waarborgt. Het definieert standaarden en certificeringscriteria voor clouddiensten die Europese datasoevereiniteit garanderen, inclusief vereisten voor transparantie, gegevensportabiliteit, interoperabiliteit en juridische compliance. GAIA-X-labels (zoals het European Data Protection-label) helpen organisaties clouddiensten te identificeren die aan soevereiniteitsvereisten voldoen. Het initiatief complementeert regelgevingskaders zoals de AVG en NIS2 met praktische technische en operationele standaarden.

Hoe kunnen bedrijven datasoevereiniteit aantonen aan hun klanten?

Bedrijven kunnen datasoevereiniteit aantonen via hun Trust Center door het publiceren van: de specifieke cloudregio's en datacentra die worden gebruikt voor gegevensopslag; het rechtsgebied dat van toepassing is op hun cloudproviders; verwerkersovereenkomsten met soevereiniteitsclausules; details over encryptiesleutelbeheer (met name wie de sleutels beheert); subverwerkerlijsten met jurisdicties van providers; Transfer Impact Assessments voor grensoverschrijdende gegevensstromen; en certificeringen zoals ISO 27001, SOC 2 en GAIA-X-compliance die soevereiniteitscontroles valideren.

Datasoevereiniteit: wat het betekent, waarom het ertoe doet en hoe Europese bedrijven het bereiken

Published 7 mrt 2026

By Emre Salmanoglu

Datasoevereiniteit: wat het betekent, waarom het ertoe doet en hoe Europese bedrijven het bereiken

Een praktische gids over datasoevereiniteit — wat het is, hoe het verschilt van dataresidentie en datalokalisatie, waarom EU-regelgeving het vereist en hoe Europese bedrijven soevereine controle over hun gegevens waarborgen.

datasoevereiniteit

dataresidentie

AVG

NIS2

DORA

cloudbeveiliging

Europese compliance

Datasoevereiniteit: wat het betekent, waarom het ertoe doet en hoe Europese bedrijven het bereiken

Datasoevereiniteit is het principe dat gegevens onderworpen zijn aan de wetten en governancestructuren van het rechtsgebied waar ze worden verzameld of opgeslagen. Voor Europese bedrijven betekent dit ervoor zorgen dat gegevens onder de EU-rechtsorde vallen — niet alleen fysiek in Europa opgeslagen, maar juridisch beschermd tegen buitenlandse overheidstoegang en beheerst door Europese regelgeving.

Het concept is verschoven van een theoretische zorg naar een praktische bedrijfsvereiste. Zakelijke inkopers in Europa vragen leveranciers nu routinematig naar datasoevereiniteit als onderdeel van het inkoopproces. Regelgeving zoals de AVG, NIS2 en DORA creëert wettelijke verplichtingen rond jurisdictionele controle. En spraakmakende juridische zaken — met name de Schrems-uitspraken — hebben aangetoond dat fysieke locatie alleen geen juridische bescherming garandeert.

Deze gids behandelt wat datasoevereiniteit in de praktijk betekent, hoe het verschilt van verwante concepten, waarom het belangrijk is voor Europese bedrijven en hoe u het bereikt.

Datasoevereiniteit vs. dataresidentie vs. datalokalisatie

Deze drie termen worden vaak verward. Ze vertegenwoordigen verschillende niveaus van gegevenscontrole:

Dataresidentie

Dataresidentie betekent dat gegevens worden opgeslagen op een specifieke geografische locatie. Een bedrijf kan "EU-dataresidentie" vereisen, wat betekent dat alle gegevens moeten worden opgeslagen in datacentra die fysiek in de Europese Unie zijn gevestigd.

Wat het garandeert: Fysieke locatie van gegevensopslag.

Wat het niet garandeert: Juridische bescherming tegen buitenlandse jurisdictie. Een Amerikaanse cloudprovider die een EU-datacentrum exploiteert, slaat gegevens weliswaar op in de EU, maar blijft onderworpen aan Amerikaanse wetgeving.

Datalokalisatie

Datalokalisatie vereist dat gegevens binnen specifieke nationale grenzen blijven. Sommige landen verplichten dat bepaalde soorten gegevens (bijv. financiele gegevens, gezondheidsgegevens, overheidsgegevens) het land onder geen enkele omstandigheid mogen verlaten.

Wat het garandeert: Gegevens overschrijden nooit nationale grenzen.

Wat het niet garandeert: Haalbaarheid voor de meeste bedrijven. Strikte lokalisatie kan de keuze aan cloudproviders beperken en kosten aanzienlijk verhogen.

Datasoevereiniteit

Datasoevereiniteit zorgt ervoor dat gegevens onderworpen zijn aan het juridische kader van een specifiek rechtsgebied. Het is het meest uitgebreide concept, dat zowel fysieke locatie als juridische controle omvat.

Wat het garandeert: Jurisdictionele autoriteit over gegevens, juridische bescherming en governancecontrole.

Wat het vereist: Het kiezen van providers, infrastructuur en juridische regelingen die ervoor zorgen dat geen buitenlandse overheid gegevenstoegang kan afdwingen zonder het juridische proces van het geldende rechtsgebied te volgen.

Aspect	Dataresidentie	Datalokalisatie	Datasoevereiniteit
Focus	Waar gegevens worden opgeslagen	Voorkomen van grensoverschrijdende doorgifte	Juridische jurisdictie over gegevens
Reikwijdte	Geografisch	Nationaal	Juridisch en jurisdictioneel
Providerbeperking	Moet lokale datacentra hebben	Moet lokaal opslaan, geen doorgifte	Moet onderworpen zijn aan lokale wetgeving
Praktische impact	Gemiddeld	Hoog (beperkt opties)	Hoogst (vereist juridische analyse)
Veelvoorkomende vereiste	AVG, branchestandaarden	Specifieke nationale wetten	Zakelijke inkopers, gereguleerde sectoren

Waarom datasoevereiniteit ertoe doet

Het CLOUD Act-probleem

De US Clarifying Lawful Overseas Use of Data (CLOUD) Act, vastgesteld in 2018, stelt de Amerikaanse rechtshandhaving in staat om in de VS gevestigde bedrijven te dwingen gegevens te verstrekken die op hun servers zijn opgeslagen, ongeacht waar die gegevens fysiek zijn opgeslagen. Dit geldt voor:

AWS, Azure, Google Cloud — zelfs wanneer ze EU-datacentra exploiteren
In de VS gevestigde SaaS-providers die EU-gegevens verwerken
Elk bedrijf dat in de VS is opgericht of substantiele VS-activiteiten heeft

Voor Europese bedrijven die gevoelige gegevens opslaan bij Amerikaanse providers, creëert dit een fundamentele spanning: de AVG beperkt gegevenstoegang door buitenlandse overheden, maar de CLOUD Act kan deze afdwingen.

De Schrems-nalatenschap

De Schrems I (2015) en Schrems II (2020) uitspraken van het Hof van Justitie van de Europese Unie (HvJ-EU) maakten opeenvolgende EU-VS gegevensdoorgiftekaders ongeldig — eerst Safe Harbor, vervolgens Privacy Shield — op grond dat Amerikaanse surveillancewetten geen adequaat beschermingsniveau boden voor EU-persoonsgegevens.

Hoewel het EU-VS Data Privacy Framework (2023) een huidige rechtsgrondslag biedt voor doorgifte, blijft de onderliggende spanning bestaan: de surveillancecapaciteiten en juridische bevoegdheden van de VS zijn niet fundamenteel veranderd.

Regelgevingsvereisten

Europese regelgeving vereist in toenemende mate soevereiniteitsoverwegingen:

AVG (Artikelen 44-49): Beperkt internationale doorgifte van gegevens en vereist passende waarborgen
NIS2 (Artikel 21(2)(d)): Beveiliging van de toeleveringsketen moet jurisdictionele risico's in overweging nemen
DORA (Artikelen 28-44): ICT-derdenrisicobeheer omvat concentratierisico en jurisdictionele beoordeling
Nationale wetgeving: Sommige EU-lidstaten hebben aanvullende soevereiniteitsvereisten voor specifieke sectoren (bijv. gezondheidsgegevens in Frankrijk, financiele gegevens in Duitsland)

Vereisten van zakelijke inkopers

Europese zakelijke inkopers evalueren datasoevereiniteit in toenemende mate als onderdeel van leveranciersbeoordeling:

Waar worden gegevens opgeslagen en verwerkt?
Welk rechtsgebied is van toepassing op de cloudprovider?
Kunnen buitenlandse overheden gegevenstoegang afdwingen?
Wie beheert de encryptiesleutels?
Welke subverwerkers worden gebruikt en waar zijn deze gevestigd?

Deze vragen verschijnen in beveiligingsvragenlijsten, leveranciersrisicobeoordelingen en inkoopvereisten in alle sectoren.

Datasoevereiniteit bereiken in de praktijk

Infrastructuurkeuzes

Europese soevereine cloudproviders: OVHcloud, IONOS, Hetzner, Scaleway, Open Telekom Cloud en andere zijn in de EU opgericht en uitsluitend onderworpen aan EU-wetgeving.

Soevereine aanbiedingen van Amerikaanse hyperscalers: AWS European Sovereign Cloud, Google Sovereign Cloud en Microsoft Cloud for Sovereignty bieden operationele scheiding binnen EU-grenzen, in de EU gevestigd personeel en lokaal sleutelbeheer — maar de onderliggende juridische entiteit blijft onderworpen aan Amerikaanse wetgeving.

Hybride benaderingen: Gebruik EU-soevereine providers voor gevoelige gegevens terwijl u hyperscalers inzet voor minder gevoelige werklasten waar hun geavanceerde diensten aanzienlijke waarde bieden.

Encryptie en sleutelbeheer

Encryptie is een kritieke soevereiniteitscontrole:

Door klant beheerde sleutels (CMK): De klant beheert encryptiesleutels, waardoor zelfs de cloudprovider geen toegang heeft tot gegevens
Bring Your Own Key (BYOK): De klant genereert en beheert de hoofdsleutel die wordt gebruikt om gegevenssleutels te versleutelen
Extern sleutelbeheer (EKM): Sleutels worden opgeslagen en beheerd in een door de klant gecontroleerde HSM buiten de infrastructuur van de cloudprovider
Confidential computing: Gegevens worden ook tijdens verwerking versleuteld, met behulp van op hardware gebaseerde vertrouwde uitvoeringsomgevingen

Wanneer de klant encryptiesleutels beheert en de cloudprovider geen toegang heeft tot gegevens in platte tekst, wordt buitenlandse juridische dwang technisch onuitvoerbaar — de provider kan niet verstrekken waartoe hij geen toegang heeft.

Juridische en contractuele maatregelen

Verwerkersovereenkomsten: Neem soevereiniteitsclausules op die toepasselijk recht en jurisdictionele beperkingen specificeren
Standaardcontractbepalingen (SCC's): Gebruik door de EU goedgekeurde SCC's voor alle doorgifte buiten de EU
Transfer Impact Assessments (TIA's): Documenteer het juridische landschap van bestemmingslanden en aanvullende maatregelen
Bindende bedrijfsvoorschriften (BCR's): Voor multinationale organisaties die gegevens binnen het concern doorgeven
Soevereiniteitsaddenda: Aanvullende contractuele verplichtingen van cloudproviders met betrekking tot beperkingen op gegevenstoegang

Organisatorische maatregelen

Dataclassificatie: Identificeer welke gegevens soevereine behandeling vereisen op basis van gevoeligheid, regelgevingsvereisten en bedrijfsrisico
Subverwerkergovernance: Evalueer de jurisdictionele blootstelling van alle subverwerkers in de toeleveringsketen
Incidentrespons: Zorg dat incidentmelding voldoet aan de vereisten van het toepasselijke rechtsgebied (bijv. AVG Artikel 33, NIS2 Artikel 23)
Regelmatige beoordeling: Soevereiniteitsvereisten evolueren met wetgeving en jurisprudentie — beoordeel regelingen jaarlijks

GAIA-X en Europese cloudstandaarden

GAIA-X is een Europees initiatief om een gefedereerde, soevereine data-infrastructuur te creëren. Belangrijke elementen:

GAIA-X-labels

GAIA-X definieert vertrouwensniveaus door labelling:

GAIA-X Standard: Basisnaleving van transparantie- en interoperabiliteitsvereisten
European Data Protection: Voldoet aan AVG-vereisten met EU-gegevensverwerking
Sovereign Data Exchange: Volledige soevereiniteitsgaranties inclusief jurisdictie, transparantie en portabiliteit

GAIA-X-principes

Transparantie: Duidelijke openbaarmaking van gegevensverwerkingslocaties, subverwerkers en toepasselijke wetgeving
Gegevensportabiliteit: Mogelijkheid om gegevens tussen providers te verplaatsen zonder lock-in
Interoperabiliteit: Op standaarden gebaseerde interfaces die multi-cloudarchitecturen mogelijk maken
Zelfsoevereiniteit: Organisaties behouden controle over hun gegevens en de regels die het gebruik ervan regelen
Federatie: Gedistribueerde infrastructuur die enkele controlepunten vermijdt

Praktische impact

GAIA-X-certificering wordt steeds meer een onderscheidende factor voor Europese cloudproviders en SaaS-bedrijven. Zakelijke inkopers — met name in gereguleerde sectoren — verwijzen in toenemende mate naar GAIA-X-standaarden in inkoopvereisten.

Datasoevereiniteit per regelgeving

AVG

Vereiste	Soevereiniteitsimplicatie
Artikel 44: Doorgifte onderworpen aan Hoofdstuk V	Juridisch kader van bestemmingsland moet worden beoordeeld
Artikel 45: Adequaatheidsbesluiten	Alleen vrij doorgeven aan landen met adequaat beschermingsniveau
Artikel 46: Passende waarborgen	SCC's, BCR's vereist voor niet-adequate landen
Artikel 49: Afwijkingen	Beperkte uitzonderingen voor noodzakelijke doorgifte
Schrems II: TIA-vereiste	Surveillancewetgeving van bestemmingsland moet worden beoordeeld

NIS2

Vereiste	Soevereiniteitsimplicatie
Artikel 21(2)(d): Beveiliging toeleveringsketen	Jurisdictionele risico's van ICT-providers evalueren
Artikel 21(2)(j): Cryptografiebeleid	Encryptiesleutelbeheer moet soevereiniteit waarborgen
Artikel 23: Incidentmelding	Meldingsverplichtingen volgen EU-jurisdictie

DORA

Vereiste	Soevereiniteitsimplicatie
Artikel 28: ICT-derdenrisicobeleid	Concentratie- en jurisdictioneel risico moet worden beoordeeld
Artikel 30: Belangrijke contractuele bepalingen	Contracten moeten gegevenslocatie en -bescherming adresseren
Artikel 31: Voorwaarden voor sub-uitbesteding	Soevereiniteitsvereisten werken door in de toeleveringsketen

Veelgemaakte fouten bij datasoevereiniteit

Locatie verwarren met soevereiniteit

Het opslaan van gegevens in een EU-datacentrum dat wordt beheerd door een Amerikaanse provider bereikt niet automatisch datasoevereiniteit. De bedrijfsjurisdictie van de provider is net zo belangrijk als de locatie van het datacentrum.

Subverwerkers negeren

Uw primaire cloudprovider kan EU-soeverein zijn, maar als deze subverwerkers gebruikt die onderworpen zijn aan buitenlandse wetgeving, is uw soevereiniteitsketen verbroken. Evalueer de gehele toeleveringsketen.

Uitsluitend op contracten vertrouwen

Contractuele verplichtingen van providers zijn belangrijk maar kunnen mogelijk niet standhouden tegen buitenlandse gerechtelijke bevelen. Technische maatregelen (encryptie, sleutelbeheer) bieden sterkere soevereiniteitsgaranties dan contracten alleen.

Soevereiniteit over-engineeren

Niet alle gegevens vereisen soevereine behandeling. Classificeer gegevens op gevoeligheid en pas soevereiniteitscontroles proportioneel toe. Marketinganalytics-gegevens vereisen niet dezelfde soevereiniteitsbehandeling als medische dossiers van patienten.

Uitgaan van permanente adequaatheid

Adequaatheidsbesluiten kunnen worden ongeldig verklaard (zoals Schrems aantoonde). Ontwerp soevereiniteitsarchitecturen die bestand zijn tegen wijzigingen in het juridische landschap, niet afhankelijk van specifieke adequaatheidsbesluiten.

Hoe Orbiq datasoevereiniteit ondersteunt

Trust Center: Publiceer uw datasoevereiniteitshouding — dataresidentie, encryptie, sleutelbeheer en providerjurisdicties — zodat inkopers zelfstandig hun due diligence kunnen uitvoeren
Continue monitoring: Volg soevereiniteitsrelevante controles over ISO 27001, AVG, NIS2 en DORA-vereisten
Bewijsbeheer: Centraliseer Transfer Impact Assessments, subverwerkerdocumentatie en soevereiniteitscertificeringen
AI-gestuurde vragenlijsten: Beantwoord automatisch soevereiniteitsgerelateerde beveiligingsvragenlijstvragen vanuit uw gedocumenteerde controles

Verder lezen

Trust Center — Hoe u uw soevereiniteitshouding publiceert voor inkopers
Leveranciersrisicobeoordeling — Hoe inkopers soevereiniteit evalueren bij leveranciersselectie
Derdenrisicobeheer — Beheer van soevereiniteitsrisico's in uw toeleveringsketen
ISMS — Het managementsysteem dat soevereiniteitscontroles regelt

Deze gids wordt onderhouden door het Orbiq-team. Laatst bijgewerkt: maart 2026.