Data residentie en digitale soevereiniteit worden vaak door elkaar gebruikt, maar ze beschrijven fundamenteel verschillende dingen. Het onderscheid kennen is geen techniciteit — het is een risicovraagstuk.
De vraag klinkt bijna retorisch: als mijn data in een datacenter in Amsterdam of Frankfurt staat, voldoe ik toch aan alle eisen? In de praktijk leidt deze redenering tot een gevaarlijke blinde vlek. Organisaties die denken dat een Europees datacenter voldoende bescherming biedt, zien een reeks aanverwante maar wezenlijk andere concepten over het hoofd.
Dit artikel legt de meest gebruikte termen naast elkaar, maakt de onderlinge verschillen inzichtelijk en laat zien waarom de geografische locatie van data slechts één puzzelstuk is in een veel groter geheel.
De terminologie ontrafeld
Laten we beginnen met de begrippen zelf. Hieronder de definities die in regelgeving, aanbestedingsdocumenten en leverancierscontracten terugkomen — en die elk iets anders betekenen.
Data residentie - Data residency
De fysieke of juridische locatie waar data wordt opgeslagen. Een contractuele of technische garantie dat data binnen een bepaald rechtsgebied blijft — doorgaans een land of regio zoals de EU. Data residentie zegt niets over wie toegang heeft, onder welk recht de aanbieder opereert, of hoe de data wordt verwerkt.
Data lokalisatie - Data localisation
Een wettelijke verplichting om bepaalde categorieën data uitsluitend op nationaal grondgebied op te slaan en/of te verwerken. Sterker dan data residentie: het is geen keuze maar een juridisch gebod, zoals in de Russische wet 242-FZ of de Chinese PIPL. In de EU speelt dit onder meer bij financiële instellingen en overheidsdata.
Data soevereiniteit - Data sovereignty
De mate waarin een staat het recht en de feitelijke mogelijkheid heeft om te bepalen wat er met data over zijn burgers of instellingen gebeurt. Het gaat om juridische zeggenschap: welk land kan via rechtspraak of wetgeving toegang afdwingen tot die data, ongeacht waar deze fysiek staat?
Digitale soevereiniteit - Digital sovereignty
Het bredere vermogen van een staat of organisatie om onafhankelijk te beslissen over digitale infrastructuur, technologie en data — zonder afhankelijkheid van buitenlandse actoren die toegang kunnen afdwingen, diensten kunnen afsnijden of normen kunnen opleggen. Omvat data soevereiniteit, maar ook software, hardware, netwerken en standaarden.
Operationele soevereiniteit - Operational sovereignty
De concrete, dagelijkse controle over systemen en processen: kunnen sleutels en toegangsrechten worden beheerd zonder tussenkomst van de leverancier? Kan de dienst blijven draaien als de relatie met de aanbieder eindigt? Operationele soevereiniteit is de uitvoerende laag onder digitale soevereiniteit.
Technologische autonomie - Technological autonomy / Strategic autonomy
De mate van onafhankelijkheid van specifieke leveranciers, platformen of landen voor kritieke technologie. In de EU-context gaat dit over de afhankelijkheid van Amerikaanse hyperscalers of Chinese hardware. Nauw verwant aan digitale soevereiniteit, maar met nadruk op industriebeleid en leveranciersketen.
Gegevensbescherming / Privacy - Data protection / Privacy
De wettelijke rechten van individuen ten aanzien van hun persoonsgegevens en de verplichtingen van verwerkers. In Europa primair geregeld via de AVG (GDPR). Gegevensbescherming raakt aan data soevereiniteit maar is geen synoniem: het gaat over individuele rechten, niet over statelijke controle.
Waarom de locatie van data niet genoeg is
Het Europese datacenter is een veelgehoord argument. De redenering: mijn data staat in Frankfurt, dus ik voldoe aan de AVG en ben beschermd tegen buitenlandse inmenging. Maar dit mist een essentieel punt: juridische jurisdictie volgt niet automatisch uit fysieke locatie.
"Waar jouw gegevens zich bevinden en wie erbij kan, zijn twee totaal verschillende vragen."— Richard Landman, Marketing & Portfolio Director, Nomios NL
Neem het bekendste voorbeeld: de Amerikaanse CLOUD Act (2018). Op grond van deze wet kunnen Amerikaanse autoriteiten data opvragen bij Amerikaanse bedrijven — ook als die data fysiek in Europa staat. Een dienstverlener met een Amerikaanse moedermaatschappij kan dus juridisch gedwongen worden gegevens te verstrekken, zelfs als het datacenter in Amsterdam staat. De data residentie is gewaarborgd; de data soevereiniteit is dat niet.
Hetzelfde patroon zien we bij andere rechtsgebieden. China kent vergelijkbare wetgeving in de vorm van de National Intelligence Law, die Chinese bedrijven en burgers verplicht medewerking te verlenen aan inlichtingendiensten. Een cloudoplossing aangeboden door een Chinese partij, met data in een Europees datacenter, biedt in juridisch opzicht beperkte garanties.
Hoe verhouden de begrippen zich tot elkaar?
| Concept | Primaire vraag | Niveau |
|---|---|---|
| Data residentie | Waar staat de data fysiek? | Technisch / contractueel |
| Data lokalisatie | Mag de data het land verlaten? | Juridisch / wettelijk |
| Data soevereiniteit | Wie heeft juridische zeggenschap over de data? | Juridisch / geopolitiek |
| Digitale soevereiniteit | Wie controleert de digitale infrastructuur? | Strategisch / beleid |
| Operationele soevereiniteit | Kan ik mijn systemen onafhankelijk beheren? | Operationeel |
| Technologische autonomie | Ben ik afhankelijk van buitenlandse partijen voor kritieke technologie? | Strategisch / industrie |
| Gegevensbescherming | Worden de rechten van betrokkenen gerespecteerd? | Wettelijk / compliance |
Wat betekent dit in de praktijk?
Voor organisaties in kritieke sectoren
Overheidsinstanties, ziekenhuizen, energiebedrijven en financiële instellingen worden in toenemende mate geconfronteerd met eisen die verder gaan dan de AVG. De NIS2-richtlijn, de DORA-verordening voor de financiële sector en aankomende EU-wetgeving rond cloudinfrastructuur stellen expliciet eisen aan de mate van controle die organisaties hebben over hun eigen systemen — niet alleen over de locatie van de data.
Dat betekent: wie zijn sleutelmateriaal beheert, is minstens zo belangrijk als waar de data staat. Encryptie waarbij de sleutels bij een externe partij liggen, biedt beperkte bescherming als die partij juridisch verplicht kan worden mee te werken aan toegang.
Voor aanbestedingen en leverancierskeuze
Bij het beoordelen van cloudaanbieders en managed service providers gaat het niet alleen om de vraag waar data wordt opgeslagen, maar ook om de moedermaatschappij, de toepasselijke wetgeving in het land van vestiging, de mogelijkheid tot exit en de mate van controle over encryptie en sleutelbeheer.
Kernvraag bij elke leveranciersevaluatie: Onder welk recht opereert deze partij, en kan een buitenlandse overheid op basis van dat recht toegang afdwingen tot onze data — ongeacht waar die data fysiek staat?
Voor de eigen organisatie
Digitale soevereiniteit is geen eindtoestand maar een spectrum. Geen enkele organisatie opereert volledig autonoom — dat is ook niet het doel. Het gaat om bewuste keuzes: waar accepteer je afhankelijkheid, en waar niet? Welke data en processen zijn bedrijfskritisch genoeg om extra controle te rechtvaardigen?
Een pragmatische aanpak begint met classificatie: welke data is gevoelig, welke is regulier, en welke raakt aan nationale veiligheid of bedrijfscontinuïteit? Pas op basis van die classificatie zijn de juiste maatregelen te bepalen.
De rol van PKI: wie vertrouw je?
Digitale soevereiniteit staat of valt bij vertrouwen — en vertrouwen in digitale communicatie is onlosmakelijk verbonden met cryptografie en Public Key Infrastructure (PKI). PKI bepaalt wie bevoegd is om identiteiten te certificeren, verbindingen te authenticeren en handtekeningen te valideren. Als het certificaten die in jouw infrastructuur worden gebruikt, worden uitgegeven door een partij buiten jouw controle — of buiten de EU — dan raakt dat direct aan je operationele soevereiniteit.
Voor organisaties die serieus nadenken over soevereiniteit is de vraag wie de root of trust beheert minstens zo relevant als de vraag waar de data staat.
