De 100 miljoen euro boete voor Yango maakt duidelijk dat digitale soevereiniteit geen politiek debat is, maar concreet risicobeheer voor elke ondernemer die met persoonsgegevens werkt.
De Autoriteit Persoonsgegevens legde een boete van 100 miljoen euro op aan MLU B.V., het bedrijf achter Yango. Reden: zonder adequate waarborgen werden persoonsgegevens van Europese gebruikers doorgesluisd naar Rusland. Deze zaak is een signaal dat de Nederlandse toezichthouder streng optreedt tegen overtredingen van de Algemene Verordening Gegevensbescherming, vooral bij internationale doorgifte. De Yango-zaak staat niet op zichzelf. Ze past in een bredere trend waarin digitale soevereiniteit wordt gezien als een essentieel onderdeel van risicobeheer, niet als een politiek standpunt. FLOH betoogt dat zeggenschapsrisico's, zoals leveranciersconcentratie en juridische afhankelijkheid, concrete bedreigingen vormen voor de bedrijfsvoering. Het incident met de verlopen domeinnaam toont hoe een simpel administratief verzuim tot een datalek kan leiden, en het Odido-datalek illustreert de opmars van AI-gedreven cyberdreigingen. Tegelijkertijd onderzoekt de Nederlandse overheid alternatieven voor Amerikaanse clouddiensten, zoals Nextcloud, om de controle over data te vergroten. Voor ondernemers en organisaties betekent dit dat zij actief moeten beheren waar hun data staat en onder welk rechtsgebied deze valt. De verborgen kosten van cloudabonnementen, het risico van niet-beheerde domeinnamen en de afhankelijkheid van één leverancier zijn reële gevaren. Door pragmatisch te kijken naar exitstrategieën, open standaarden en goede doorgiftemechanismen zoals Standard Contractual Clauses, kunnen bedrijven hun soevereiniteit versterken en boetes én reputatieschade voorkomen.
MLU B.V. stuurde persoonsgegevens van gebruikers zonder passende waarborgen naar Rusland. Dit is een van de hoogste boetes onder de AVG en benadrukt dat de toezichthouder serieus optreedt bij overtredingen van internationale doorgiftebepalingen.
Volgens FLOH draait het debat ten onrechte om moraliteit, terwijl het in de kern gaat om controle over de knoppen van je bedrijfsvoering. Concentratie bij één leverancier kan leiden tot operationele risico's, ongeacht onder welke vlag deze opereert.
Omdat domeinnamen niet werden verlengd, kregen onbevoegden toegang tot gevoelige data. Dit kan elk bedrijf overkomen bij een rebranding, overname of het simpelweg laten vallen van een merknaam. Het vereist geen hackkennis, slechts een paar euro om een verlopen domein te registeren.
Het grootschalige datalek bij Odido markeert een kantelpunt waarbij traditionele beveiliging niet langer volstaat. Organisaties moeten overstappen op proactieve strategieën zoals AI-gestuurde anomaliedetectie en zero-trust architecturen.
In maart 2025 is een motie aangenomen om toe te werken naar een eigen rijkscloud, en het Rijk onderzoekt Nextcloud als alternatief voor Microsoft 365. Dit reduceert concentratierisico's en versterkt de digitale autonomie van de overheid.
Naast abonnementskosten spelen integratiefricties, datafragmentatie en ongebruikte tools een rol. Ondernemers moeten hun SaaS-omgeving regelmatig doorlichten om deze onnodige kosten te elimineren en de efficiëntie te verbeteren.
De Autoriteit Persoonsgegevens werkt samen met zusterorganisaties in Finland en Noorwegen. Dit wijst op intensievere grensoverschrijdende handhaving van de AVG, wat de kans op sancties voor internationaal opererende bedrijven vergroot.
