Je weet waarschijnlijk precies welke software je gebruikt. Maar weet je ook waar de persoonsgegevens van je klanten fysiek staan, en op welke juridische grond ze daar mogen staan? Voor de meeste organisaties is het antwoord op de eerste vraag „ergens in de cloud” en op de tweede „geen idee”. Dat was jarenlang geen probleem, tot het dat wel werd.
De juridische bodem onder data die naar Amerikaanse servers stroomt is namelijk voor de derde keer in tien jaar gaan schuiven: na Safe Harbor (2015) en Privacy Shield (2020) is ook de grondslag onder het EU-VS Data Privacy Framework wankel geworden. Dat is geen reden om in paniek je hele stack te verhuizen. Het is wel reden om te weten waar je staat en je contracten op orde te brengen.
Deze gids is voor de ondernemer, operations- of IT-verantwoordelijke bij een MKB of een afdeling van een grotere organisatie die klantdata verwerkt, maar geen grote juridische afdeling heeft. Je loopt stap voor stap door het in kaart brengen van je data, het kiezen van een EU-residency-optie per systeem en het bijwerken van je verwerkersovereenkomsten. Het doel is grip, geen big-bang-migratie.
Wat je nodig hebt
- Een overzicht van je systemen en leveranciers: CRM, e-mail, boekhouding, marketing, klantenservice, back-up en alles waar klantgegevens doorheen lopen.
- Je huidige verwerkersovereenkomsten (vaak een PDF of een paragraaf in de algemene voorwaarden van de leverancier).
- Een beeld van welke data echt gevoelig is (BSN, gezondheids-, betaal- of locatiegegevens) tegenover alledaagse contactgegevens.
- Toegang tot de admin-instellingen van je clouddiensten, want regio en residency zet je daar vaak zelf om.
- Een paar dagen tijd en weinig budget. Het meeste werk is inventarisatie en contractwerk, geen migratie.
Zo breng je je data-residency op orde
Data-residency betekent grip krijgen op waar je klantdata fysiek staat en onder welk recht. Je inventariseert welke gegevens bij welke leverancier liggen, classificeert wat echt gevoelig is, kiest per systeem een EU-residency-optie of een gerichte verhuizing, en legt het vast in bijgewerkte verwerkersovereenkomsten. Geen alles-tegelijk-operatie, maar gericht herstel waar het telt.
Zo pak je het in zes stappen aan:
1. Inventariseer waar je klantdata staat
Maak een lijst van elke dienst die persoonsgegevens van klanten verwerkt. Noteer per leverancier vier dingen: welke gegevens er staan, in welke regio ze worden opgeslagen, of het moederbedrijf Europees of Amerikaans is, en op welke grondslag een eventuele doorgifte naar de VS rust. Vergeet de minder zichtbare verwerkers niet: je e-mailprovider, je back-updienst, je analytics en je supporttool verwerken net zo goed persoonsgegevens.
2. Classificeer wat echt gevoelig is
Niet alle data weegt even zwaar. Bijzondere categorieën uit artikel 9 van de AVG (gezondheid, etniciteit, biometrie) en gegevens als het BSN, betaaldata of precieze locatie vragen om de strengste behandeling. Gewone contactgegevens van zakelijke klanten zijn een lagere prioriteit. Deze stap bepaalt waar je begint: bij de gevoeligste data, niet bij de grootste map.
3. Vraag per leverancier de grondslag en het plan B op
Stuur je belangrijkste leveranciers een korte, concrete vraag: op welke grondslag rust de doorgifte van mijn data (het Data Privacy Framework of de standaard contractuele clausules), bieden jullie een EU-regio of EU-residency aan, en wie zijn de subverwerkers? Het antwoord (of het uitblijven ervan) zegt je meteen hoe afhankelijk je bent en hoeveel ruimte er is om bij te sturen zonder over te stappen.
4. Zet EU-residency aan waar het kan, verhuis waar het moet
Voor veel diensten is residency simpelweg een instelling: je kiest een EU-datacenterregio of je zet de EU Data Boundary aan. Doe dat eerst voor alles waar het kan. Bewaar een echte verhuizing voor de gevoeligste data waar een instelling niet genoeg is. De opties zet ik hieronder op een rij.
5. Werk je verwerkersovereenkomsten bij
De Autoriteit Persoonsgegevens somt op wat verplicht in een verwerkersovereenkomst hoort: een beschrijving van de verwerking, instructies, geheimhouding, beveiliging, afspraken over subverwerkers en hulp bij verzoeken van betrokkenen. Vul dat per leverancier aan met de punten die er nu toe doen: leg de opslagregio expliciet vast, voeg de actuele standaard contractuele clausules toe als bijlage, doe een korte transfer impact assessment voor elke doorgifte buiten de EU, en eis voorafgaande toestemming voor nieuwe subverwerkers.
6. Leg het vast en herbeoordeel
Zet de uitkomst in je register van verwerkingsactiviteiten, zodat je bij de volgende juridische schok niet weer vanaf nul begint. Plan een vaste herbeoordeling, bijvoorbeeld jaarlijks of bij een leverancierswissel. Een grondslag die in tien jaar drie keer omvalt, dwingt je niet tot paniek, maar wel tot een vast moment waarop je opnieuw kijkt.
De EU-residency-opties op een rij
Grofweg heb je twee richtingen: residency aanzetten bij je huidige (vaak Amerikaanse) leverancier, of overstappen naar een aanbieder die onder Europees recht valt. Dit zijn de serieuze opties.
| Optie | Wat het is | Sterk punt | Let op |
|---|---|---|---|
| Azure EU Data Boundary | Opslag en verwerking van klant- en persoonsgegevens binnen EU/EFTA voor Azure, Microsoft 365, Dynamics 365 en Power Platform | Aanzetten zonder migratie, je blijft op je vertrouwde stack | Microsoft blijft een Amerikaans bedrijf; beperkte uitzonderingen (zoals remote support) en de CLOUD Act blijven gelden |
| AWS European Sovereign Cloud | Aparte AWS-cloud, bestuurd door een EU-rechtspersoon met EU-directie, los van de gewone AWS-regio's | EU-zeggenschap, niet alleen een EU-locatie | Nieuwe regio met een beperkter dienstenaanbod dan de hoofdregio's |
| Google Sovereign Cloud | Data residency en toegangscontroles met EU Data Boundary-pakketten en lokale partners | Past op je bestaande Google-stack | Zelfde moederbedrijf-vraagstuk als bij de andere hyperscalers |
| Nextcloud (self-hosted of EU-hosting) | Open-source samenwerkings- en opslagplatform, zelf gedraaid of bij een EU-hostingpartner | Geen Amerikaanse moeder; jij bepaalt locatie en sleutels | Je beheert het onderhoud zelf, of besteedt het gericht uit |
| Hetzner / OVHcloud / Scaleway | Europese infraproviders (Hetzner in Duitsland en Finland, OVHcloud en Scaleway in Frankrijk) | EU-bedrijf met EU-only verwerking volgens hun verwerkersovereenkomst | Je bouwt je eigen stack erop; minder kant-en-klare managed diensten dan de hyperscalers |
De twee grote namen maakten hun EU-aanbod recent compleet. Microsoft rondde begin 2025 zijn EU Data Boundary voor Azure, Microsoft 365, Dynamics 365 en Power Platform af, waarmee klant- en gepseudonimiseerde persoonsgegevens binnen de EU en EFTA blijven. AWS ging een stap verder en opende begin 2026 een Europese soevereine cloud die door een EU-rechtspersoon met Europese directie wordt bestuurd, met de eerste regio in Brandenburg. Dat verschil, een EU-locatie tegenover Europese zeggenschap, is precies waar het bij gevoelige data om draait.
Valkuilen
EU-regio betekent niet immuun voor Amerikaans recht. Een Amerikaanse leverancier die je data in een EU-datacenter zet, valt via zijn moederbedrijf nog steeds onder de CLOUD Act. EU Data Boundary houdt bovendien beperkte uitzonderingen voor doorgifte, bijvoorbeeld bij remote support. De nieuwe soevereine clouds met een EU-bestuur dichten dat gat verder dan een kale regiokeuze, maar een gewone EU-regio doet dat niet.
Alles tegelijk willen verhuizen. Een complete migratie van je stack is duur, riskant en zelden nodig. De winst zit in het gericht verplaatsen van de gevoeligste data en het aanzetten van residency voor de rest.
De subverwerker-keten vergeten. Je leverancier voldoet misschien netjes, maar besteedt zelf uit aan een partij buiten de EU. Zonder zicht op die keten weet je niet waar je data echt eindigt. Eis daarom een actuele subverwerkerslijst en toestemmingsrecht.
Encryptie met sleutels die de leverancier beheert. Versleuteling helpt alleen als jij de sleutel houdt. Beheert de leverancier de sleutel, dan kan hij (en wie hem juridisch dwingt) er nog steeds bij. Voor de gevoeligste data is sleutelbeheer in eigen hand het verschil.
Residency verwarren met controle. Waar de data staat is een ander vraagstuk dan wie er zeggenschap over heeft. De DMA en de Data Act geven je overstaprechten die je zelf moet opeisen, met onder de Data Act vanaf 12 januari 2027 geen egress- en overstapkosten meer. Een recht op je data doet weinig als je systeem vastzit in leverancierseigen diensten.
Kant-en-klaar vs. maatwerk
De keuze hangt af van hoe gevoelig je data is en hoeveel zeggenschap je wilt. Voor het overgrote deel van de alledaagse klantdata is residency aanzetten genoeg; voor de kroonjuwelen loont een eigen stack.
| Kant-en-klaar: EU-residency aanzetten | Maatwerk: eigen EU-stack | |
|---|---|---|
| Wat | EU-regio of Data Boundary bij je huidige leverancier | Self-hosted Nextcloud op een EU-provider, met eigen sleutels |
| Tijd en kosten | Uren, vaak inbegrepen in je abonnement | Weken opzetten, doorlopend eigen beheer |
| Controle | Leverancier houdt de sleutels en de uitzonderingen | Jij houdt locatie, sleutels en toegang |
| Risico | Erft de jurisdictie van het moederbedrijf | Jij draagt onderhoud en beveiliging |
| Past bij | Alledaagse klantdata, snel resultaat | Bijzondere of gevoelige data, hoge soevereiniteitseis |
De middenweg werkt voor de meeste organisaties het best: zet EU-residency aan bij wat je hebt, en til alleen de gevoeligste verwerkingen over naar een Europese of zelf gehoste omgeving. Wie de hele werkplek soeverein wil maken, kan een complete werkplek met Nextcloud, e-mail en Linux zelf draaien, maar dat is een groter project dan dit, en zelden in een keer nodig.
De kern is nuchter. Een juridische grondslag die in tien jaar drie keer omvalt, is geen fundament maar een tijdelijke vergunning. Waar je data staat en van wie je software is, is geen politiek standpunt maar een bedrijfsrisico, eentje dat op dezelfde plank hoort als een te grote klant of een onmisbare leverancier. Wie zijn data nu in kaart brengt, zijn contracten bijwerkt en de gevoeligste verwerkingen verplaatst, schrikt straks niet als de volgende uitspraak valt. Hij weet allang waar hij staat.
Veelgestelde vragen
Je data terug onder controle
Ik breng samen met je in kaart waar je klantdata staat, zet EU-residency aan waar dat kan en verhuis alleen de gevoeligste verwerkingen, bijvoorbeeld naar een zelf gehoste Nextcloud-omgeving. Van inventarisatie tot een werkende, soevereine opzet.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
