Close-up van koelventilatoren in een datacenter
Gids30 juni · 17:009 min leestijd

Waar mag je klantdata staan? Stappenplan voor data-residency en verwerkersovereenkomsten

Inventariseer welke klantdata op Amerikaanse clouds staat, kies per systeem een EU-residency-optie en werk je verwerkersovereenkomsten bij, zonder in paniek je hele stack te verhuizen.

Je weet waarschijnlijk precies welke software je gebruikt. Maar weet je ook waar de persoonsgegevens van je klanten fysiek staan, en op welke juridische grond ze daar mogen staan? Voor de meeste organisaties is het antwoord op de eerste vraag „ergens in de cloud” en op de tweede „geen idee”. Dat was jarenlang geen probleem, tot het dat wel werd.

De juridische bodem onder data die naar Amerikaanse servers stroomt is namelijk voor de derde keer in tien jaar gaan schuiven: na Safe Harbor (2015) en Privacy Shield (2020) is ook de grondslag onder het EU-VS Data Privacy Framework wankel geworden. Dat is geen reden om in paniek je hele stack te verhuizen. Het is wel reden om te weten waar je staat en je contracten op orde te brengen.

Deze gids is voor de ondernemer, operations- of IT-verantwoordelijke bij een MKB of een afdeling van een grotere organisatie die klantdata verwerkt, maar geen grote juridische afdeling heeft. Je loopt stap voor stap door het in kaart brengen van je data, het kiezen van een EU-residency-optie per systeem en het bijwerken van je verwerkersovereenkomsten. Het doel is grip, geen big-bang-migratie.

Wat je nodig hebt

  • Een overzicht van je systemen en leveranciers: CRM, e-mail, boekhouding, marketing, klantenservice, back-up en alles waar klantgegevens doorheen lopen.
  • Je huidige verwerkersovereenkomsten (vaak een PDF of een paragraaf in de algemene voorwaarden van de leverancier).
  • Een beeld van welke data echt gevoelig is (BSN, gezondheids-, betaal- of locatiegegevens) tegenover alledaagse contactgegevens.
  • Toegang tot de admin-instellingen van je clouddiensten, want regio en residency zet je daar vaak zelf om.
  • Een paar dagen tijd en weinig budget. Het meeste werk is inventarisatie en contractwerk, geen migratie.

Zo breng je je data-residency op orde

Data-residency betekent grip krijgen op waar je klantdata fysiek staat en onder welk recht. Je inventariseert welke gegevens bij welke leverancier liggen, classificeert wat echt gevoelig is, kiest per systeem een EU-residency-optie of een gerichte verhuizing, en legt het vast in bijgewerkte verwerkersovereenkomsten. Geen alles-tegelijk-operatie, maar gericht herstel waar het telt.

Zo pak je het in zes stappen aan:

1. Inventariseer waar je klantdata staat

Maak een lijst van elke dienst die persoonsgegevens van klanten verwerkt. Noteer per leverancier vier dingen: welke gegevens er staan, in welke regio ze worden opgeslagen, of het moederbedrijf Europees of Amerikaans is, en op welke grondslag een eventuele doorgifte naar de VS rust. Vergeet de minder zichtbare verwerkers niet: je e-mailprovider, je back-updienst, je analytics en je supporttool verwerken net zo goed persoonsgegevens.

2. Classificeer wat echt gevoelig is

Niet alle data weegt even zwaar. Bijzondere categorieën uit artikel 9 van de AVG (gezondheid, etniciteit, biometrie) en gegevens als het BSN, betaaldata of precieze locatie vragen om de strengste behandeling. Gewone contactgegevens van zakelijke klanten zijn een lagere prioriteit. Deze stap bepaalt waar je begint: bij de gevoeligste data, niet bij de grootste map.

3. Vraag per leverancier de grondslag en het plan B op

Stuur je belangrijkste leveranciers een korte, concrete vraag: op welke grondslag rust de doorgifte van mijn data (het Data Privacy Framework of de standaard contractuele clausules), bieden jullie een EU-regio of EU-residency aan, en wie zijn de subverwerkers? Het antwoord (of het uitblijven ervan) zegt je meteen hoe afhankelijk je bent en hoeveel ruimte er is om bij te sturen zonder over te stappen.

4. Zet EU-residency aan waar het kan, verhuis waar het moet

Voor veel diensten is residency simpelweg een instelling: je kiest een EU-datacenterregio of je zet de EU Data Boundary aan. Doe dat eerst voor alles waar het kan. Bewaar een echte verhuizing voor de gevoeligste data waar een instelling niet genoeg is. De opties zet ik hieronder op een rij.

5. Werk je verwerkersovereenkomsten bij

De Autoriteit Persoonsgegevens somt op wat verplicht in een verwerkersovereenkomst hoort: een beschrijving van de verwerking, instructies, geheimhouding, beveiliging, afspraken over subverwerkers en hulp bij verzoeken van betrokkenen. Vul dat per leverancier aan met de punten die er nu toe doen: leg de opslagregio expliciet vast, voeg de actuele standaard contractuele clausules toe als bijlage, doe een korte transfer impact assessment voor elke doorgifte buiten de EU, en eis voorafgaande toestemming voor nieuwe subverwerkers.

6. Leg het vast en herbeoordeel

Zet de uitkomst in je register van verwerkingsactiviteiten, zodat je bij de volgende juridische schok niet weer vanaf nul begint. Plan een vaste herbeoordeling, bijvoorbeeld jaarlijks of bij een leverancierswissel. Een grondslag die in tien jaar drie keer omvalt, dwingt je niet tot paniek, maar wel tot een vast moment waarop je opnieuw kijkt.

De EU-residency-opties op een rij

Grofweg heb je twee richtingen: residency aanzetten bij je huidige (vaak Amerikaanse) leverancier, of overstappen naar een aanbieder die onder Europees recht valt. Dit zijn de serieuze opties.

OptieWat het isSterk puntLet op
Azure EU Data BoundaryOpslag en verwerking van klant- en persoonsgegevens binnen EU/EFTA voor Azure, Microsoft 365, Dynamics 365 en Power PlatformAanzetten zonder migratie, je blijft op je vertrouwde stackMicrosoft blijft een Amerikaans bedrijf; beperkte uitzonderingen (zoals remote support) en de CLOUD Act blijven gelden
AWS European Sovereign CloudAparte AWS-cloud, bestuurd door een EU-rechtspersoon met EU-directie, los van de gewone AWS-regio'sEU-zeggenschap, niet alleen een EU-locatieNieuwe regio met een beperkter dienstenaanbod dan de hoofdregio's
Google Sovereign CloudData residency en toegangscontroles met EU Data Boundary-pakketten en lokale partnersPast op je bestaande Google-stackZelfde moederbedrijf-vraagstuk als bij de andere hyperscalers
Nextcloud (self-hosted of EU-hosting)Open-source samenwerkings- en opslagplatform, zelf gedraaid of bij een EU-hostingpartnerGeen Amerikaanse moeder; jij bepaalt locatie en sleutelsJe beheert het onderhoud zelf, of besteedt het gericht uit
Hetzner / OVHcloud / ScalewayEuropese infraproviders (Hetzner in Duitsland en Finland, OVHcloud en Scaleway in Frankrijk)EU-bedrijf met EU-only verwerking volgens hun verwerkersovereenkomstJe bouwt je eigen stack erop; minder kant-en-klare managed diensten dan de hyperscalers

De twee grote namen maakten hun EU-aanbod recent compleet. Microsoft rondde begin 2025 zijn EU Data Boundary voor Azure, Microsoft 365, Dynamics 365 en Power Platform af, waarmee klant- en gepseudonimiseerde persoonsgegevens binnen de EU en EFTA blijven. AWS ging een stap verder en opende begin 2026 een Europese soevereine cloud die door een EU-rechtspersoon met Europese directie wordt bestuurd, met de eerste regio in Brandenburg. Dat verschil, een EU-locatie tegenover Europese zeggenschap, is precies waar het bij gevoelige data om draait.

Valkuilen

EU-regio betekent niet immuun voor Amerikaans recht. Een Amerikaanse leverancier die je data in een EU-datacenter zet, valt via zijn moederbedrijf nog steeds onder de CLOUD Act. EU Data Boundary houdt bovendien beperkte uitzonderingen voor doorgifte, bijvoorbeeld bij remote support. De nieuwe soevereine clouds met een EU-bestuur dichten dat gat verder dan een kale regiokeuze, maar een gewone EU-regio doet dat niet.

Alles tegelijk willen verhuizen. Een complete migratie van je stack is duur, riskant en zelden nodig. De winst zit in het gericht verplaatsen van de gevoeligste data en het aanzetten van residency voor de rest.

De subverwerker-keten vergeten. Je leverancier voldoet misschien netjes, maar besteedt zelf uit aan een partij buiten de EU. Zonder zicht op die keten weet je niet waar je data echt eindigt. Eis daarom een actuele subverwerkerslijst en toestemmingsrecht.

Encryptie met sleutels die de leverancier beheert. Versleuteling helpt alleen als jij de sleutel houdt. Beheert de leverancier de sleutel, dan kan hij (en wie hem juridisch dwingt) er nog steeds bij. Voor de gevoeligste data is sleutelbeheer in eigen hand het verschil.

Residency verwarren met controle. Waar de data staat is een ander vraagstuk dan wie er zeggenschap over heeft. De DMA en de Data Act geven je overstaprechten die je zelf moet opeisen, met onder de Data Act vanaf 12 januari 2027 geen egress- en overstapkosten meer. Een recht op je data doet weinig als je systeem vastzit in leverancierseigen diensten.

Kant-en-klaar vs. maatwerk

De keuze hangt af van hoe gevoelig je data is en hoeveel zeggenschap je wilt. Voor het overgrote deel van de alledaagse klantdata is residency aanzetten genoeg; voor de kroonjuwelen loont een eigen stack.

Kant-en-klaar: EU-residency aanzettenMaatwerk: eigen EU-stack
WatEU-regio of Data Boundary bij je huidige leverancierSelf-hosted Nextcloud op een EU-provider, met eigen sleutels
Tijd en kostenUren, vaak inbegrepen in je abonnementWeken opzetten, doorlopend eigen beheer
ControleLeverancier houdt de sleutels en de uitzonderingenJij houdt locatie, sleutels en toegang
RisicoErft de jurisdictie van het moederbedrijfJij draagt onderhoud en beveiliging
Past bijAlledaagse klantdata, snel resultaatBijzondere of gevoelige data, hoge soevereiniteitseis

De middenweg werkt voor de meeste organisaties het best: zet EU-residency aan bij wat je hebt, en til alleen de gevoeligste verwerkingen over naar een Europese of zelf gehoste omgeving. Wie de hele werkplek soeverein wil maken, kan een complete werkplek met Nextcloud, e-mail en Linux zelf draaien, maar dat is een groter project dan dit, en zelden in een keer nodig.

De kern is nuchter. Een juridische grondslag die in tien jaar drie keer omvalt, is geen fundament maar een tijdelijke vergunning. Waar je data staat en van wie je software is, is geen politiek standpunt maar een bedrijfsrisico, eentje dat op dezelfde plank hoort als een te grote klant of een onmisbare leverancier. Wie zijn data nu in kaart brengt, zijn contracten bijwerkt en de gevoeligste verwerkingen verplaatst, schrikt straks niet als de volgende uitspraak valt. Hij weet allang waar hij staat.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Je data terug onder controle

Ik breng samen met je in kaart waar je klantdata staat, zet EU-residency aan waar dat kan en verhuis alleen de gevoeligste verwerkingen, bijvoorbeeld naar een zelf gehoste Nextcloud-omgeving. Van inventarisatie tot een werkende, soevereine opzet.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

De DMA geeft je rechten op je cloud, maar je leverancier overhandigt ze niet
Inzicht
7 min

28 jun 11:00

De DMA geeft je rechten op je cloud, maar je leverancier overhandigt ze niet

AWS en Azure zijn nu poortwachter onder de DMA. Dat wordt gelezen als bevrijding van lock-in. Ik denk dat een recht dat je niet zelf opeist en inbouwt, een recht op papier blijft.

Van Microsoft 365 naar een soevereine werkplek: stappenplan met Nextcloud, e-mail en Linux
Gids
10 min

26 jun 09:00

Van Microsoft 365 naar een soevereine werkplek: stappenplan met Nextcloud, e-mail en Linux

Stap voor stap je werkplek losmaken van Microsoft 365: Nextcloud voor bestanden en samenwerking, een soevereine mailoplossing en Linux op de desktop, met de kosten en valkuilen eerlijk op een rij.

Een AI-agent op je eigen data draaien: zelf hosten of een EU-aanbieder kiezen
Gids
Uitgebreide gids11 min

8 jul 17:00

Een AI-agent op je eigen data draaien: zelf hosten of een EU-aanbieder kiezen

Een AI-agent die op je eigen data werkt, hoeft niet naar een Amerikaanse cloud. Kies bewust tussen een EU-aanbieder via een API en zelf hosten, met een eerlijk beslis-kader op data, kosten, beheer en exit.

UWV test Microsoft Copilot, maar zonder persoonsgegevens en zonder besluit over structureel gebruik
Nieuws
5 min

29 jun 16:23

UWV test Microsoft Copilot, maar zonder persoonsgegevens en zonder besluit over structureel gebruik

Minister Vijlbrief neemt nog geen besluit over structureel gebruik van Microsoft Copilot bij UWV. In de proef mag de AI niet op bestanden of persoonsgegevens, en het kabinet onderzoekt parallel soevereine alternatieven.

Digitale soevereiniteit is risicobeheer, geen politiek
Inzicht
8 min

16 jun 13:31

Digitale soevereiniteit is risicobeheer, geen politiek

Soevereiniteit wordt gevoerd als een principekwestie over Amerika en Big Tech. Daardoor schuift de nuchtere ondernemer het weg. Onterecht: waar je data staat en van wie je software is, is gewoon een bedrijfsrisico.

VS-exportban op Anthropic zet Europa's AI-soevereiniteit op scherp
Nieuws
5 min

14 jun 06:07

VS-exportban op Anthropic zet Europa's AI-soevereiniteit op scherp

De Amerikaanse exportban op Anthropics Fable 5 en Mythos 5 is uitgegroeid tot een Europees soevereiniteitsdebat. Ministers spreken van een wake-up call. Wat betekent die afhankelijkheid van Amerikaanse AI concreet voor jouw bedrijf?