ABAC (Attribute-Based Access Control)
ABAC beslist over toegang op basis van attributen, zoals afdeling, land, classificatie, project of context. Het is flexibeler dan RBAC, maar...
Lees meerDatasoevereiniteit is het principe dat data onder de wetten valt van het land of rechtsgebied waar ze verzameld of bewaard wordt. Voor een KMO in de cloud draait het om een vraag: welke overheid mag zich met je data bemoeien? Fysieke locatie en juridische bevoegdheid vallen daarbij niet altijd samen.
Datasoevereiniteit is het principe dat data onderworpen is aan de wetten en het bestuur van het land of rechtsgebied waar ze verzameld of bewaard wordt. Kort gezegd: welke overheid mag zich met jouw data bemoeien, en onder welke regels valt ze?
Voor een KMO in de cloud is dat geen theoretische vraag. De klantendata in je warehouse, de back-ups van je facturatie, de gesprekslogs van je chatbot: elk van die bestanden valt onder een rechtsorde, soms onder meer dan een. Welke, hangt af van waar de data staat en wie de leverancier is die ze beheert. Fysieke locatie en juridische bevoegdheid vallen daarbij niet altijd samen.
Deze drie termen worden vaak door elkaar gehaald, terwijl ze elk een andere vraag beantwoorden.
Dataresidentie gaat over waar je data fysiek staat. Kies je in Azure of AWS een Europese regio, dan bepaal je je residentie. Zo'n keuze maak je meestal om redenen van performantie of compliance.
Datasoevereiniteit gaat over welke wetten op die data van toepassing zijn. Dat is ruimer dan alleen locatie, want de nationaliteit van je leverancier speelt mee. Data die in Frankfurt staat maar beheerd wordt door een Amerikaans bedrijf, kan onder zowel Europees als Amerikaans recht vallen.
Datalokalisatie is een wettelijke verplichting om bepaalde data binnen een landsgrens te houden. Een aantal landen legt dat op voor gevoelige categorieën, zoals gegevens over burgers of de overheid. Waar residentie een keuze is, is lokalisatie een plicht.
Het duidelijkste voorbeeld van botsende soevereiniteit is de spanning tussen de Europese GDPR (in het Nederlands de AVG) en de Amerikaanse CLOUD Act.
De CLOUD Act uit 2018 laat Amerikaanse justitie toe om een in de VS gevestigde aanbieder te verplichten data te overhandigen, ook als die data buiten de VS staat. De wet kwam er na een dispuut waarin de FBI e-mails opeiste die Microsoft op een server in Ierland bewaarde.
Concreet: zet je je klantendata in de Europese regio van een Amerikaanse cloudleverancier, dan is je dataresidentie in orde, maar valt diezelfde data onder twee rechtsordes tegelijk. De GDPR beperkt doorgifte buiten de Europese Economische Ruimte (hoofdstuk V van de verordening), terwijl de CLOUD Act Amerikaanse autoriteiten een mogelijke toegangsweg geeft via de leverancier.
Blijf wel nuchter. De CLOUD Act geeft geen automatische toegang: een Amerikaanse rechter moet een bevel tekenen op basis van een gegrond vermoeden van een misdrijf, en de aanbieder mag een verzoek aanvechten dat botst met buitenlands recht. AWS meldt dat er sinds het daarover rapporteert geen data van zakelijke of overheidsklanten buiten de VS aan de Amerikaanse overheid is overhandigd.
Kies een Europese regio. Dat houdt je persoonsgegevens binnen de Europese Economische Ruimte, al lost het de soevereiniteitsvraag niet volledig op.
Bekijk een sovereign cloud-aanbod. Voor wie extra garanties nodig heeft, bestaan er aparte cloudomgevingen. Microsoft Sovereign Cloud bouwt op drie pijlers: dataresidentie (met de EU Data Boundary, die data van in-scope diensten binnen de EU houdt), encryptie en confidential computing.
Hou de sleutels zelf in handen. Encryptie met customer-managed keys betekent dat jij de sleutels beheert, niet je leverancier. Met een variant die Hold Your Own Key heet, verlaten de sleutels zelfs nooit jouw omgeving. Kan de leverancier de data niet ontcijferen, dan heeft een overhandiging weinig waarde, en de CLOUD Act geeft justitie geen bevoegdheid om ontcijfering af te dwingen.
Let op wat versleuteling niet oplost: pseudonimisering of encryptie verandert niets aan de vraag welke wet op de data van toepassing is. Leg daarom in je data governance vast wat de leverancier met de data mag doen.
Residentie verwarren met soevereiniteit. "Onze data staat in Europa" zegt niets over welke wetten erop van toepassing zijn. De nationaliteit van je leverancier telt mee.
Globale diensten die je regio verlaten. Niet elke clouddienst blijft binnen je gekozen regio. Sommige globale diensten, zoals DNS of verkeersrouting, repliceren data wereldwijd. Check dat per dienst.
Schaduwkopieën en support. Een back-up in een andere regio of een supportteam dat vanuit een derde land meekijkt, ondergraaft je zorgvuldig gekozen residentie.
Strengere sectorregels. Werk je voor de overheid of in een gereguleerde sector, ga dan na of er lokalisatieregels gelden die verder gaan dan wat de GDPR standaard vraagt.
ABAC beslist over toegang op basis van attributen, zoals afdeling, land, classificatie, project of context. Het is flexibeler dan RBAC, maar...
Lees meerAfwijkingsanalyse onderzoekt waar procesuitvoeringen verschillen van een norm, verwacht patroon of vergelijkingsgroep. Ze maakt zichtbaar we...
Lees meerDe AI Act is de Europese verordening die artificiële intelligentie reguleert. Ze deelt AI-systemen op volgens risico en legt verplichtingen ...
Lees meerAI-geletterdheid is de kennis en de vaardigheden om AI verstandig te gebruiken: weten wat een model kan, output kritisch beoordelen en risic...
Lees meerAnonimisering maakt data redelijkerwijs niet meer herleidbaar tot een persoon, waardoor de GDPR niet meer van toepassing is. Pseudonimiserin...
Lees meer
Vanaf 2 augustus 2026 legt de Europese AI Act je KMO een transparantieplicht op: laat weten waar je AI gebruikt. Wat dat concreet betekent v...
AI zit standaard in Google Workspace for Education en Microsoft 365 Education. Wat krijg je gratis, wat kost extra, wie mag wat per leeftijd...