De fysieke locatie van een server klinkt als een technisch detail. Toch heeft die locatie directe juridische gevolgen voor elke organisatie die persoonsgegevens verwerkt. Sinds de invoering van de AVG in 2018 is datalocalisatie uitgegroeid tot een volwaardig juridisch begrip dat in 2026 nog steeds aan relevantie wint.
Veel ondernemers gaan ervan uit dat hun data “ergens in de cloud” staat en dat dit voldoende is. Die aanname is riskant. De Autoriteit Persoonsgegevens treedt al jaren handhavend op tegen organisaties die onvoldoende zicht hebben op waar hun gegevens worden opgeslagen en verwerkt.
Wie kiest voor een managed dedicated server bij een Nederlandse partij, weet precies in welk datacenter de data staat. Dat is geen luxe, maar een voorwaarde om te voldoen aan de verantwoordingsplicht uit artikel 5 lid 2 van de AVG. Zonder die zekerheid wordt het lastig om bij een audit aan te tonen dat passende technische maatregelen zijn genomen.
De juridische basis van datalocalisatie in Europa
De AVG schrijft niet letterlijk voor dat data binnen de EU moet blijven. Wel stelt de verordening strenge eisen aan doorgifte naar landen buiten de Europese Economische Ruimte. Na het Schrems II-arrest van het Hof van Justitie in juli 2020 werd duidelijk dat standaardcontractbepalingen alleen niet volstaan als het ontvangende land geen gelijkwaardig beschermingsniveau biedt.
Het EU-VS Data Privacy Framework, dat de Europese Commissie in juli 2023 aannam, bood enige verlichting voor transatlantische datatransfers. Toch blijft onzekerheid bestaan over de houdbaarheid van dit raamwerk, aangezien privacy-organisatie noyb al heeft aangekondigd het juridisch te willen aanvechten. Een nieuw arrest dat het framework onderuithaalt, is daarmee geen theoretisch risico.
Voor organisaties die dit risico willen vermijden, is de meest pragmatische oplossing om data fysiek binnen Nederland of de EU te houden. Dat betekent concreet kiezen voor datacenters op Nederlands grondgebied, bij voorkeur met een TIER 3-classificatie of hoger voor gegarandeerde continuiteit.
Wat serverlocatie betekent voor verwerkingsovereenkomsten
Een verwerkingsovereenkomst moet volgens artikel 28 van de AVG specifiek beschrijven welke technische en organisatorische maatregelen de verwerker treft. De locatie van de infrastructuur is daar een wezenlijk onderdeel van. Wanneer een hostingpartij data verplaatst naar een ander datacenter zonder de verwerkingsverantwoordelijke te informeren, kan dat een overtreding opleveren.
In de praktijk werken veel MSP’s met meerdere datacenters verspreid over het land. Proserve, een MSP uit Rotterdam, maakt bijvoorbeeld gebruik van drie TIER 3-datacenters in Alblasserdam en Amsterdam, alle drie op Nederlands grondgebied en draaiend op groene stroom. Dat soort transparantie over locatie en energiebron is precies wat je als verwerkingsverantwoordelijke nodig hebt bij het opstellen van een waterdichte verwerkingsovereenkomst.
Het is verstandig om contractueel vast te leggen dat de verwerker voorafgaand schriftelijk toestemming vraagt bij wijziging van de opslaglocatie. Zonder zo’n clausule sta je als organisatie juridisch zwak wanneer data onverwacht buiten de EU terechtkomt. Een managed dedicated server bij een Nederlandse aanbieder maakt die afspraak eenvoudiger te controleren dan een constructie met wisselende cloudlocaties.
Certificeringen als bewijs van zorgvuldigheid
ISO 27001 en NEN 7510 zijn meer dan afvinklijstjes. Deze certificeringen bewijzen dat een organisatie een informatiebeveiligingsbeheersysteem heeft ingericht dat periodiek door een externe partij wordt getoetst. Voor de zorgsector is NEN 7510 zelfs een wettelijke eis op basis van het Besluit elektronische gegevensverwerking door zorgaanbieders dat in 2018 inging.
Een ISAE 3402 Type II-verklaring gaat nog een stap verder. Hierbij beoordeelt een externe auditor niet alleen of controles zijn opgezet, maar ook of ze gedurende een langere periode effectief hebben gefunctioneerd. Voor organisaties die hun serverinfrastructuur uitbesteden, biedt zo’n verklaring objectief bewijs dat de hostingpartij doet wat zij contractueel belooft.
Bij het selecteren van een IT-partner is het daarom raadzaam om niet alleen naar prijs en uptime te kijken. Vraag naar actuele certificaten en controleer of deze door een geaccrediteerde instantie zijn afgegeven. De Raad voor Accreditatie in Utrecht houdt een openbaar register bij van erkende certificerende instellingen in Nederland.
Toenemende druk vanuit sectorspecifieke regelgeving
Naast de AVG dienen organisaties in 2026 rekening te houden met sectorspecifieke eisen die de lat voor IT-uitbesteding verhogen. De Digital Operational Resilience Act (DORA), sinds januari 2025 van kracht, verplicht financiele instellingen om hun ICT-risicobeheer volledig op orde te hebben. Onderdeel daarvan is het in kaart brengen van alle derde partijen die kritieke ICT-diensten leveren, inclusief de exacte locatie van hun servers.
Ook de NIS2-richtlijn, die eind 2024 in Nederlandse wetgeving is omgezet, raakt een brede groep organisaties buiten de financiele sector. Bedrijven in energie, transport, gezondheidszorg en digitale infrastructuur moeten aantonen dat ze passende maatregelen nemen tegen cyberdreigingen. Het inzetten van een dedicated server binnen een gecertificeerd Nederlands datacenter kan een concreet en toetsbaar onderdeel van die maatregelen vormen.
De juridische eisen aan IT-uitbesteding liggen aanzienlijk hoger dan vijf jaar geleden. Dat vraagt om bewuste keuzes bij het inrichten van infrastructuur, niet achteraf bij een incident, maar voordat het eerste contract wordt getekend.