De verborgen migratie van data: waarom je “EU-gehoste” website toch wereldwijd data lekt

De schijn van compliance

Veel websites presenteren zich als Europees gehost. In de praktijk blijkt dat vaak een illusie. Je kiest een server in Frankfurt, vinkt het GDPR-vakje aan en denkt dat je klaar bent. Tot iemand vraagt waar al je data uiteindelijk terechtkomt.

Het antwoord is zelden beperkt tot Europa.

De lagen van een moderne website

Een website bestaat uit meer dan alleen de server. Elk onderdeel dat data verwerkt, kan een lek vormen.

• Je hostingprovider (hopelijk in de EU)
• Je DNS-provider (vaak elders)
• Je CDN voor afbeeldingen en scripts (meestal wereldwijd)
• Je lettertype-service (vaak in Californië)
• Je analytics-tool (bijna altijd in de VS)
• Je e-maildienst (vaak met internationale routes)
• Je betaalprovider (meestal gekoppeld aan niet-EU-systemen)
• Je API-integraties (ieder een potentieel uitgangspunt)

Al die lagen verwerken gebruikersdata. Elk werkt onder eigen regels en jurisdictie. En de meeste site-eigenaren weten niet of hun “compliant” setup data écht binnen Europa houdt.

Waarom dit nu belangrijker is

Regels worden strenger. GDPR vereist duidelijke toestemming en gedocumenteerde dataflows. Fines kunnen oplopen tot 4 % van de wereldwijde omzet. In Duitsland wordt NIS2 steeds strictere eisen stellen aan cross-border transfers. Tegelijkertijd vragen gebruikers steeds vaker waar hun data blijft.

Daarnaast is echte privacy ook een zakelijk voordeel. Bedrijven die kunnen aantonen dat data niet zomaar de EU uitgaat, hebben een competitieve edge.

Wat een echte audit onthult

Veel organisaties hebben nooit een grondige dataflow-audit gedaan. De resultaten zijn meestal hetzelfde:

1. DNS-query’s gaan vaak naar global providers zoals Cloudflare of Route53
2. Third-party scripts voeren data server-side uit buiten je controle
3. CDN edge-servers bevinden zich wereldwijd, ook al is je site “EU-hosted”
4. E-maildiensten hebben failover-routes die door meerdere regio’s lopen
5. API-partners geven zelden duidelijkheid over waar ze data opslaan

Wat NameOcean-klanten moeten weten

Wij verzorgen domeinnamen en DNS, twee kritieke lagen. Onze aanpak is eenvoudig: als je bij ons registreert, blijven je DNS-records en queries onder jouw controle en in een duidelijke jurisdictie. We zijn transparant over waar de servers staan en welke regio’s je data verwerken.

Met onze cloud hosting en Vibe Hosting bouwen we infrastructuur die de vraag “Waar gaat mijn data naartoe?” niet met een hypothese,而是 met concrete locaties beantwoordt.

Een praktische checklist

Wil je weten of je data in de EU blijft?

1. Bepaal waar je servers fysiek staan
2. Check wie je DNS-hosting regelt
3. Kijk waar je CDN edge-servers staan
4. Vraag aan elke third-party service waar hun data centers zijn
5. Test je e-mailrouting met een testmail
6. Documenteer waar data naartoe gaat bij API-calls
7. Controleer of gebruikers weten waar hun data wordt verwerkt

De meeste bedrijven ontdekken dat ze meer wereldwijd verspreid zijn dan ze dachten.

Hoe ga je verder?

Je hoeft niet alles tegelijk te veranderen. Belangrijk is eerst zichtbaarheid.

• Maak een inventaris van alle services die data raken
• Vraag expliciete bevestiging van data center-locaties
• Pas data-minimalisatie toe
• Kies waar mogelijk privacy-first alternatieven
• Documenteer je dataflows voor regulatoren en klanten
• Overweeg consolidatie: minder services = minder exit points

Conclusie: compliance is geen vinkje

“EU hosting” is alleen zinvol als je ook EU data flows hebt. Je moet niet alleen de server bekijken,而是 de hele keten.

Wie in dit segment wint, is niet per se de partij met de goedkoopste hosting, maar de partij die duidelijk kan zeggen: “We weten waar je data gaat, en we kunnen het laten zien.”

Dat is de standaard die NameOcean nastreeft.