Een leverancier roept al snel dat zijn dienst veilig is en AVG-proof werkt. Maar de echte vraag is: wanneer is cloud AVG-proof voor jouw organisatie? Niet als er ergens een privacyverklaring online staat, maar pas als je kunt aantonen waar data staat, wie erbij kan, onder welk recht die verwerking valt en hoe je de regie houdt.
Voor veel organisaties gaat het daar mis. Ze gebruiken een bekende cloudomgeving, tekenen een verwerkersovereenkomst en gaan ervan uit dat het geregeld is. Dat is te simpel. De AVG kijkt niet naar marketingtaal, maar naar verantwoordelijkheid, risico’s en feitelijke controle. Zeker als je werkt met klantgegevens, personeelsdossiers, medische informatie of vertrouwelijke documenten, moet je scherper zijn.
Wanneer is cloud AVG-proof in de praktijk?
Cloud is AVG-proof als de verwerking van persoonsgegevens aantoonbaar voldoet aan de eisen van de AVG. Dat klinkt juridisch, maar in de praktijk komt het neer op een paar harde voorwaarden. Je moet weten welke persoonsgegevens je verwerkt, waarom je dat doet, waar die data fysiek staat opgeslagen, wie als verwerker optreedt en welke beveiligingsmaatregelen daadwerkelijk zijn ingericht.
Daar hoort ook bij dat je niet afhankelijk bent van aannames. “Data staat in Europa” is bijvoorbeeld niet automatisch genoeg. Als een leverancier onder buitenlandse wetgeving valt of ondersteunings- en beheerprocessen buiten de EU laat uitvoeren, ontstaat een ander risicoprofiel. Dan moet je dus verder kijken dan de brochure.
AVG-proof is daarom geen sticker. Het is een combinatie van techniek, contracten, processen en bestuurlijke keuzes. En ja, dat maakt de beoordeling soms minder comfortabel dan organisaties hopen.
De opslaglocatie is belangrijk, maar niet het hele verhaal
Veel inkopers beginnen bij de vraag waar data staat. Terecht, want opslaglocatie doet ertoe. Als jouw bedrijfsdata en persoonsgegevens op servers in Nederland staan, onder Nederlands recht, is dat overzichtelijker dan een constructie met verspreide datacenters, subverwerkers en onduidelijke supportkanalen.
Toch is alleen Nederlandse of Europese hosting niet voldoende. Je moet ook weten wie technisch toegang heeft tot die systemen. Als beheerders, supportmedewerkers of moederbedrijven buiten de EU toegang kunnen krijgen, dan moet je dat meenemen in je beoordeling. Hetzelfde geldt voor back-ups, logging, monitoring en e-mailrouting. Persoonsgegevens zitten zelden maar op één plek.
Daar zit precies het verschil tussen “Europees gehost” en echt controle hebben. Het eerste klinkt goed. Het tweede is wat telt.
Buitenlandse jurisdictie blijft een risico
Een veelgemaakte denkfout is dat een Europese server automatisch Europese zeggenschap betekent. Dat is niet altijd zo. Een aanbieder kan infrastructuur in Europa gebruiken, maar ondertussen onderdeel zijn van een buitenlands concern of vallen onder wetgeving die toegang tot data kan afdwingen.
Voor organisaties die serieus met privacy omgaan, is dat geen detail. Het raakt direct aan datasoevereiniteit. Als je niet helder kunt uitleggen onder wiens voorwaarden jouw data wordt verwerkt, is het lastig om te stellen dat je cloudomgeving echt AVG-proof is.
Een verwerkersovereenkomst is nodig, maar niet genoeg
Zonder verwerkersovereenkomst ben je er meestal snel klaar mee: dan is het simpelweg niet op orde. Maar met alleen een contract ben je er ook niet. De AVG vraagt om passende technische en organisatorische maatregelen. Dat betekent dat een leverancier moet kunnen laten zien hoe toegang is geregeld, hoe incidenten worden afgehandeld, hoe gegevens worden verwijderd en hoe vertrouwelijkheid wordt geborgd.
Daarbij geldt ook: hoe complexer de keten, hoe moeilijker de controle. Een hoofdaanbieder met een reeks subverwerkers, extra analysetools, externe supportpartijen en onduidelijke beheerlagen maakt compliance niet sterker. Het maakt het vager.
Een nuchtere vuistregel helpt hier: als je niet in gewone taal kunt uitleggen welke partijen jouw persoonsgegevens verwerken, heb je waarschijnlijk te weinig grip.
Beveiliging gaat verder dan encryptie alleen
Encryptie is belangrijk. Zonder goede versleuteling van data tijdens transport en opslag loop je achter. Maar ook hier geldt dat één technisch begrip niet genoeg is om AVG-proof te zijn. Je moet daarnaast kijken naar toegangsbeheer, authenticatie, rollen en rechten, logging, segmentatie, patchbeleid en back-upbeheer.
Voor een kleine organisatie kan een basisniveau voldoende zijn, zolang dat past bij de aard van de gegevens. Voor een gemeente, zorgpartij of organisatie met gevoelige HR-data ligt de lat hoger. De AVG schrijft geen vast technisch recept voor. De norm is risico-gebaseerd. Hoe gevoeliger de data en hoe groter de impact van misbruik of verlies, hoe zwaarder de maatregelen moeten zijn.
Dat betekent ook dat goedkope eenvoud soms duurkoop is. Een platform dat handig oogt, maar weinig instelbare controle biedt over data, gebruikersrechten en beheer, kan operationeel prima werken en juridisch toch een zwakke plek zijn.
Toegang is vaak het echte knelpunt
In de praktijk zit het risico vaak niet in opslag, maar in toegang. Wie mag bij bestanden, mailboxen, agenda’s en contactgegevens? Kun je rechten fijnmazig instellen? Is beheer gescheiden van gebruik? Kun je zien wie wat heeft gedaan? En kun je accounts snel blokkeren als iemand vertrekt of een incident ontstaat?
Een cloudomgeving zonder duidelijke grip op rollen en toegangsrechten is moeilijk AVG-proof te noemen. Niet omdat alles direct fout gaat, maar omdat je de kans op fouten, datalekken en ongewenste inzage vergroot.
Wanneer is cloud AVG-proof voor jouw organisatie?
Dat hangt af van wat je verwerkt. Een zzp’er met beperkte klantgegevens maakt een andere afweging dan een schoolbestuur of een organisatie met honderden medewerkers. Toch zijn de kernvragen voor iedereen hetzelfde.
Kun je aantonen welke persoonsgegevens je verwerkt? Is duidelijk waarom die verwerking nodig is? Staat vast waar de gegevens worden opgeslagen? Is er een verwerkersovereenkomst? Zijn subverwerkers bekend? Is toegang beperkt en controleerbaar? Kun je data exporteren en verwijderen zonder gedoe? En weet je wat er gebeurt bij een incident?
Als je op meerdere van die vragen geen helder antwoord hebt, is de kans groot dat je cloudomgeving niet AVG-proof genoeg is. Niet op papier, maar in de praktijk.
Juist daarom kiezen steeds meer organisaties bewust voor een Nederlandse cloudomgeving zonder Big Tech op de achtergrond. Niet uit sentiment, maar omdat overzicht, lokale hosting en directe controle compliance veel werkbaarder maken. Een partij als ENEM Office past in die beweging: data in Nederland, onder Nederlandse voorwaarden, zonder onduidelijke buitenlandse lagen erbovenop.
Let op vendor lock-in en exporteerbaarheid
AVG-proof werken gaat niet alleen over veilig opslaan, maar ook over grip houden. Als je jouw data niet eenvoudig kunt exporteren, migreren of verwijderen, lever je feitelijk controle in. Dat is technisch onhandig en juridisch riskant.
Vendor lock-in wordt vaak pas een probleem als je wilt overstappen, een audit krijgt of vragen krijgt van betrokkenen. Kun je dan snel gegevens aanleveren, corrigeren of verwijderen? Of blijkt de data verspreid te zitten over losse modules, propriëtaire formaten en externe koppelingen?
Een cloudoplossing die je vasthoudt, werkt zelden in jouw voordeel. Zeker niet als privacy en compliance serieus op de agenda staan.
De grootste fout: vertrouwen op merknaam in plaats van toetsing
Veel organisaties kiezen een grote aanbieder omdat dat veilig voelt. Begrijpelijk, maar merkbekendheid is geen bewijs van AVG-geschiktheid voor jouw situatie. Grote platforms zijn niet per definitie fout, maar ze brengen vaak wel meer complexiteit mee in datastromen, juridische structuren en beheerprocessen.
De betere vraag is niet: gebruikt iedereen dit? De betere vraag is: kunnen wij dit uitleggen, beheersen en verantwoorden? Als het antwoord nee is, heb je geen privacystrategie maar uitbestedingsgeloof.
Daarom loont het om scherp te toetsen op vier punten: jurisdictie, verwerkersketen, toegangscontrole en praktische beheersbaarheid. Niet omdat elk risico volledig verdwijnt, maar omdat je daarmee volwassen keuzes maakt in plaats van gemakskeuzes.
Wat je morgen al moet controleren
Begin niet met een auditrapport van honderd pagina’s. Begin met drie nuchtere checks. Vraag waar jouw data daadwerkelijk staat. Vraag welke partijen erbij kunnen. Vraag hoe je data exporteert en laat verwijderen. Als daar vage antwoorden op komen, weet je genoeg.
Laat daarnaast intern toetsen of de gebruikte cloudomgeving past bij de gevoeligheid van de gegevens die je verwerkt. Een tool die prima is voor algemene samenwerking kan ongeschikt zijn voor HR, zorg, overheid of juridische dossiers. AVG-proof is altijd contextgebonden.
Wie privacy serieus neemt, koopt dus geen cloud op basis van gewoonte of marktaandeel. Je kiest een omgeving die onder jouw voorwaarden werkt, met heldere opslag, voorspelbare verwerking en controle die niet ophoudt zodra het contract is getekend. Dat is misschien minder flashy dan de beloftes van internationale platforms, maar wel een stuk verstandiger als je later geen discussie wilt over waar je data eigenlijk gebleven is.
