Soevereiniteit & Data

'Gehost in Europa' betekent niet soeverein

Q: Is een dienst die in Europa wordt gehost noodzakelijkerwijs soeverein?

Nee. Een Amerikaanse aanbieder zoals AWS, Microsoft Azure of Cloudflare blijft onderworpen aan de CLOUD Act, zelfs als zijn servers in Parijs of Frankfurt staan. Soevereiniteit hangt af van de eigendom en de controle van het bedrijf, niet alleen van de locatie van de servers.

Het is het standaard geruststellende label geworden: "data gehost in Europa". Je vinkt het aan, je haalt opgelucht adem, je gaat door naar iets anders. Het probleem is dat het de verkeerde vraag beantwoordt. Wat de soevereiniteit van je data bepaalt is niet het adres van je servers — het is de nationaliteit van het bedrijf dat ze controleert.

Fred Gaveau26 juni 2026~9 min leestijd

Laten we het rechtuit zeggen, want dat is de geest van dit blog: een server in Parijs die door een Amerikaans bedrijf wordt geëxploiteerd, is geen soevereine server. Niet omdat de host liegt over de locatie — die spreekt de waarheid. Maar omdat de locatie niet het juiste criterium is. Het criterium is: wie kan juridisch worden gedwongen om de data af te geven, en onder welk recht?

Het geruststellende label dat naast de kwestie antwoordt

"Regio Europa", "datacenter in Frankfurt", "opslag in Frankrijk": deze vermeldingen staan overal, en ze zijn niet onwaar. AWS, Microsoft Azure, Google Cloud, Cloudflare — ze bieden allemaal Europese regio's aan, en slaan je data er ook echt op.

Maar digitale soevereiniteit meet je niet in kilometers. Je meet ze in jurisdictie: onder welk recht valt de entiteit die de dienst bezit en exploiteert? En daar verandert de locatie van de server niets aan de nationaliteit van het bedrijf.

De CLOUD Act, in één zin

In 2018 namen de Verenigde Staten de CLOUD Act aan (Clarifying Lawful Overseas Use of Data Act). De logica past op één regel: een bedrijf dat onderworpen is aan het Amerikaanse recht moet de data die het controleert afgeven aan de Amerikaanse autoriteiten, waar ook ter wereld die is opgeslagen.

2018 de CLOUD Act bezegelt de extraterritoriale reikwijdte: de locatie van de servers beschermt niet langer tegen Amerikaanse toegang.

De tekst is precies ontstaan uit een geschil over dit punt: in de zaak Microsoft v. United States eiste de Amerikaanse overheid e-mails die door Microsoft werden opgeslagen… in een datacenter in Ierland. De CLOUD Act besliste het debat in het voordeel van de toegang, los van de plaats van opslag. Praktische conclusie: voor een Amerikaanse aanbieder creëert "gehost in Dublin" of "gehost in Frankfurt" geen enkele juridische barrière tegenover het Amerikaanse recht.

En het is niet zomaar advocatengekibbel. In 2020 verklaarde het Hof van Justitie van de Europese Unie, in het arrest Schrems II (C-311/18), het Privacy Shield ongeldig en wees daarbij precies op dit risico: de toegang van de Amerikaanse autoriteiten tot de data van Europeanen, zonder gelijkwaardig rechtsmiddel. De data kan in Parijs staan; het juridische risico steekt de Atlantische Oceaan over.

"Adequaat" is niet "soeverein" — twee verschillende assen

Hier verwarren veel mensen twee begrippen die niets met elkaar te maken hebben. Laten we ze ontwarren, want daar zit de hele valkuil.

Adequaatheid (artikel 45 van de AVG) is een kwestie van legale doorgifte: de EU erkent dat een bepaald land — of een bepaald kader, zoals het Data Privacy Framework EU-VS van juli 2023 — een als voldoende beoordeelde bescherming biedt om er data naartoe te sturen. Het is een toestemming voor doorgifte.
Soevereiniteit is een kwestie van controle: ontsnapt de data, naar haar aard, aan een macht buiten de EU? Een aanbieder kan perfect "adequaat" zijn in de juridische zin én volstrekt niet-soeverein.

Sprekend voorbeeld: een Amerikaanse dienst die gecertificeerd is onder het Data Privacy Framework is gedekt voor de doorgifte (juridische as), maar blijft onderworpen aan de CLOUD Act (soevereiniteitsas). Het Verenigd Koninkrijk geniet een adequaatheidsbesluit — wat het er niet van weerhoudt deel uit te maken van de "Five Eyes", de inlichtingenalliantie (Verenigde Staten, Verenigd Koninkrijk, Canada, Australië, Nieuw-Zeeland). "Legaal door te geven" en "buiten bereik van een derde staat" zijn twee verschillende dingen.

Onthoud dit

Soevereiniteit = eigendom en controle (valt het bedrijf onder de EER?). Adequaatheid = recht op doorgifte (mag je er legaal data naartoe sturen?). Een dienst kan het tweede vakje aanvinken zonder het eerste. Op dat verschil draait al de rest.

De echte blinde vlek: de afhankelijkheden die je niet ziet

Stel dat je een soevereine host hebt gekozen voor je site. Prima. Maar je pagina is niet alleen een server: het is een constellatie van diensten van derden die laden in de browser van je bezoekers — en elk daarvan ontvangt op zijn minst hun IP-adres.

94% van de pagina's laadt minstens één dienst van een derde, en de verreweg meest verspreide is Amerikaans (HTTP Archive, Web Almanac).

Google-fonts, Google Analytics, Tag Manager, reCAPTCHA, ingebedde YouTube, Meta-pixel, Cloudflare- of AWS CloudFront-CDN, chat, A/B-testing, kaarten… De mediaan-site stapelt er tientallen op. En de meest aanwezige op het web zijn vrijwel allemaal Amerikaans.

De meest verspreide diensten van derden zijn Amerikaans

Google Analytics

~55 % 🇺🇸

Cloudflare

~21 % 🇺🇸

Aandeel van de websites dat deze diensten gebruikt, grootteordes volgens W3Techs (geraadpleegd in 2026). Twee van de meest ingezette diensten ter wereld, beide onderworpen aan de CLOUD Act — ongeacht de gekozen hostingregio. En dit zijn alleen de zichtbaarste.

Erger nog: sommige trackers vermommen zich. Met CNAME cloaking wijst een subdomein dat first-party lijkt (metrics.jouwsite.nl) via een DNS-record in werkelijkheid naar de infrastructuur van een externe tracker. Met het blote oog lijkt het "van jezelf". In werkelijkheid vertrekt de data ergens anders heen — vaak buiten de EU. Dat is precies het soort afhankelijkheid dat een eerlijke audit moet ontmaskeren in plaats van laten passeren.

Gehost in de EU ≠ soeverein: de test in de praktijk

De goede methode om een afhankelijkheid te beoordelen bestaat niet uit het lezen van de pagina "waar staat je data". Ze bestaat erin om, dienst per dienst, drie vragen te stellen:

Wie bezit het bedrijf? Moederbedrijf in de EER, of in de Verenigde Staten / het Verenigd Koninkrijk / Canada / Australië? Dat is het beslissende criterium.
Verlaat de data de browser van de bezoeker? Een netwerkaanroep naar een extern domein geeft het IP-adres door, en vaak meer.
Is de afhankelijkheid vermomd? Een first-party subdomein kan een doorgifte buiten de EU verbergen via CNAME.

Niemand doet dit met de hand voor 40 requests. Dat is precies wat een soevereiniteitsscanner automatiseert: hij somt elke werkelijk geladen dienst van derden op, klasseert die per jurisdictie (🇪🇺 soeverein / 🔴 niet-soeverein / 🟠 te controleren), ontmaskert CNAME cloaking, en stelt voor elke afhankelijkheid een Europees alternatief voor.

Benieuwd naar je eigen site? Onze soevereiniteitschecker somt je afhankelijkheden buiten de EU op in 90 seconden, gratis en zonder registratie — US/EU-score, ontmaskerde trackers en Europese alternatieven.

Controleer de soevereiniteit van mijn site →

Het goede nieuws: de alternatieven bestaan

Soevereiniteit is geen vrome wens noch een functioneel offer. Voor vrijwel elke bouwsteen van een site bestaat er een in de EU gevestigde optie:

Hosting / cloud: OVHcloud, Scaleway, Clever Cloud, Hetzner.
Analytics: Snorklee, Matomo, Plausible, Piwik PRO.
CDN: Bunny CDN, Scaleway.
Fonts: zelf-gehost, of Bunny Fonts.
E-mail / marketing: Brevo, Mailjet, MailerLite.
Betaling: Mollie, Adyen; anti-bot: DataDome, Friendly Captcha; chat: Crisp.

Het doel is niet om een vlag te planten. Het is om de blootstelling te verminderen: minder data die de EU verlaat, minder derden onderworpen aan een buitenlands recht, minder grijze zones om te documenteren. Elke niet-soevereine afhankelijkheid die je vervangt is één afhankelijkheid minder om te verantwoorden in je verwerkingsregister.

Kort gezegd

"Gehost in Europa" is een nuttige vermelding, maar het is maar de helft van het antwoord. De helft die er werkelijk toe doet — wie het bedrijf controleert, aan welk recht het beantwoordt — blijft onder de oppervlakte. De CLOUD Act geeft niets om het adres van je servers; hij geeft om de nationaliteit van je aanbieder.

Soevereiniteit is dus geen label dat je toont. Het is een keten van afhankelijkheden die je onder ogen ziet: je host, maar ook je fonts, je analytics, je CDN, je externe scripts, tot en met de trackers vermomd als first-party. Snorklee is uit die vaststelling geboren — een publieksmeting die 100 % soeverein is, gehost in Frankrijk, zonder Amerikaanse afhankelijkheid, zonder cookie of banner. En de checker die erbij hoort is er voor één ding: je zonder schroom laten zien wat je site werkelijk aan boord heeft.

Vertrouw niet op het label. Kijk naar de keten.

FAQ

Is een dienst die in Europa wordt gehost noodzakelijkerwijs soeverein?
Nee. Dat is het kernpunt: een Amerikaanse aanbieder zoals AWS, Microsoft Azure of Cloudflare blijft onderworpen aan de CLOUD Act, zelfs als zijn servers in Parijs of Frankfurt staan. Soevereiniteit hangt af van de eigendom en de controle van het bedrijf, niet alleen van de locatie van de servers.

Wat is de CLOUD Act precies?
Een Amerikaanse wet uit 2018 die bedrijven onderworpen aan het Amerikaanse recht verplicht om de data die ze controleren af te geven aan de autoriteiten, waar ook ter wereld die is opgeslagen. Hij is ontstaan uit de zaak Microsoft v. United States, die ging over data gehost in Ierland. De locatie van de servers creëert dus geen juridische barrière tegenover het Amerikaanse recht.

Betekent "adequaat" in de zin van de AVG "soeverein"?
Nee, het zijn twee verschillende assen. De adequaatheid (art. 45 AVG) staat een doorgifte van data toe naar een land of een kader dat als voldoende beschermend wordt beoordeeld (bv. het Data Privacy Framework EU-VS). Soevereiniteit betreft de controle: een dienst kan adequaat zijn voor de doorgifte en tegelijk onderworpen blijven aan een buitenlands recht zoals de CLOUD Act.

Hoe weet ik of mijn site afhankelijk is van niet-soevereine diensten?
Door elke dienst van derden die de pagina werkelijk laadt op te sommen en per jurisdictie te klasseren. Dat is wat een soevereiniteitschecker automatiseert: hij identificeert de afhankelijkheden buiten de EU, ontmaskert de trackers in CNAME cloaking, en stelt Europese alternatieven voor — gratis en in enkele seconden.

Bestaan er geloofwaardige Europese alternatieven?
Ja, voor vrijwel elke bouwsteen van een site: OVHcloud of Scaleway voor de hosting, Matomo, Plausible of Snorklee voor de analytics, Bunny CDN voor het CDN, Brevo voor de e-mail, Mollie voor de betaling, enz. De blootstelling verminderen is zelden een kwestie van beschikbaarheid — vaker een kwestie van gewoonte.

Gepubliceerd in juni 2026. Belangrijkste bronnen: CLOUD Act — Clarifying Lawful Overseas Use of Data Act, H.R. 4943 (2018); zaak Microsoft Corp. v. United States (geschil over data gehost in Ierland, oorsprong van de tekst); HvJ-EU, arrest Schrems II, C-311/18 (16 juli 2020, ongeldigverklaring van het Privacy Shield); adequaatheidsbesluit EU-VS Data Privacy Framework (10 juli 2023); inlichtingenalliantie "Five Eyes". Prevalentie van diensten van derden: HTTP Archive, Web Almanac (hoofdstuk Third Parties) en W3Techs (gebruiksaandelen, grootteordes, geraadpleegd in 2026). Algemene informatie, geen geïndividualiseerd juridisch advies — raadpleeg voor een concreet geval een DPO of een gekwalificeerd jurist.