Woordenlijst · EU-cloudsoevereiniteit EU Data Boundary (Microsoft EU Data Boundary (en vergelijkbare US-hyperscaler-aanbiedingen))
Commercieel aanbod van Microsoft waarmee wordt toegezegd EU-klantgegevens binnen EU-datacenters op te slaan en te verwerken. Vergelijkbare regelingen worden aangeboden door AWS (European Sovereign Cloud) en Google (Sovereign Controls). Belangrijk om te begrijpen: dataresidentie in EU-datacenters verandert NIET de onderliggende bedrijfsjurisdictie van de in de VS gevestigde dienstverlener.
## Wat de EU Data Boundary daadwerkelijk is
Microsoft EU Data Boundary is een commercieel aanbod — gelanceerd in 2023 en sindsdien geleidelijk uitgebreid — waarbij Microsoft zich verplicht om klantgegevens voor Microsoft 365, Dynamics 365, Power Platform en Azure op te slaan en te verwerken binnen EU/EVA-datacenters. Vergelijkbare regelingen zijn gelanceerd door AWS (European Sovereign Cloud) en Google Cloud (Sovereign Controls).
De Boundary is een *technische en commerciële verplichting* over *waar* klantgegevens worden verwerkt en opgeslagen. Het is **geen jurisdictionele heroverdracht** — de aanbieder blijft een in de VS gevestigde juridische entiteit die onderworpen is aan Amerikaanse juridische processen, ongeacht waar klantgegevens fysiek staan.
Dit onderscheid is operationeel cruciaal. Het wordt ook breed verkeerd begrepen in inkoopgesprekken.
## Wat de EU Data Boundary daadwerkelijk doet
Specifiek voor Microsoft's EU Data Boundary (de meest volwassen van deze aanbiedingen) omvatten de verplichtingen:
### Dataresidentie
- **Klantgegevens** (de belangrijkste bedrijfsdata) opgeslagen in EU/EVA-datacenters
- **Gepseudonimiseerde persoonsgegevens** verwerkt binnen de EU/EVA-boundary
- **Systeemlogs en diagnostische gegevens** geleidelijk binnen de boundary gebracht (dit is het lastigste deel geweest — het duurt langer dan de initiële toezeggingen suggereerden)
- **Gegenereerde content** (AI-outputs enz.) voor in-scope services binnen de boundary
### Service-blootstelling
De Boundary dekt (vanaf 2026):
- **Microsoft 365** kerndiensten (Exchange Online, SharePoint, OneDrive, Teams)
- **Dynamics 365** kerndiensten
- **Power Platform** kerndiensten
- **Azure** kern-compute, opslag, netwerkdiensten (uitgezonderd sommige gespecialiseerde regionale diensten)
Sommige diensten blijven buiten de Boundary — met name sommige AI-gerelateerde diensten, bepaalde geavanceerde analyses en diensten waarbij wereldwijde routing structureel vereist is (sommige CDN, edge, identiteit).
### Operationele veranderingen
Microsoft heeft significant geïnvesteerd in:
- EU-gebaseerde operationele medewerkers voor Boundary-scope diensten
- EU-gevestigde supportingenieurs die Boundary-scope klantinteracties afhandelen
- Technische architectuurwijzigingen die in-scope data uitsluitend via EU-infrastructuur routeren
## Wat de EU Data Boundary NIET doet
Dit is het operationeel cruciale deel — en de bron van de meeste inkoopverwarring.
### Verandert de bedrijfsjurisdictie niet
Microsoft Corporation blijft een in de staat Washington gevestigd Amerikaans bedrijf. Microsoft Ireland Operations Limited blijft een Ierse dochteronderneming van Microsoft Corporation. De Data Boundary-verplichtingen zijn operationeel; de bedrijfsjurisdictie is onveranderd.
### Elimineert CLOUD Act-blootstelling niet
De Amerikaanse CLOUD Act staat Amerikaanse autoriteiten toe om in de VS gevestigde bedrijven te dwingen data openbaar te maken, ongeacht waar de data fysiek is opgeslagen. Dit geldt voor Microsoft Corporation (en haar dochterondernemingen) ongeacht de EU Data Boundary-status. De Boundary gaat over fysieke datalocatie; de CLOUD Act gaat over welke bedrijfsentiteit de sleutels in handen heeft.
### Elimineert FISA 702-blootstelling niet
FISA Sectie 702 staat Amerikaanse inlichtingendiensten toe om in de VS gevestigde aanbieders te dwingen niet-Amerikaans-persoons communicatie en data openbaar te maken. Microsoft's status als in de VS gevestigde aanbieder betekent dat deze blootstelling blijft bestaan ongeacht EU Data Boundary-verplichtingen.
### Biedt geen structurele bescherming tegen sanctie-gedreven dienstbeëindiging
Het [ICC / Microsoft-incident](/nl/blog/icc-microsoft-sanctions-cloud-sovereignty-lesson/) van 2025 is de operationele demonstratie. Microsoft's EU Data Boundary kon (en kon structureel niet) voorkomen dat de e-mail van de aanklager onder Amerikaanse sancties werd afgesloten. Beslissingen van de Amerikaanse uitvoerende macht over welke Europese gebruikers een in de VS gevestigde aanbieder mag bedienen, worden niet beperkt door dataresidentie-verplichtingen.
## Hoe de Data Boundary samenwerkt met Europese regelgeving
De operationele status van de Boundary in Europese regelgevingskaders is genuanceerd:
### AVG
Dataresidentie binnen de EU is een van de verschillende factoren die de AVG overweegt voor internationale overdrachten en verwerking. EU Data Boundary-verplichtingen helpen voldoen aan de dataresidentie-verwachtingen van de AVG, maar voldoen niet aan de bredere vraag van Schrems II-stijl overdrachtsbeoordeling voor data die onderworpen is aan Amerikaanse juridische processen.
### Schrems II en Standaard Contractuele Bepalingen
De Schrems II-uitspraak van het Europese Hof van Justitie behandelt specifiek de structurele blootstelling die risico creëert voor overdrachten naar in de VS gevestigde aanbieders. De EU Data Boundary behandelt de structurele blootstelling niet — het behandelt de fysieke datalocatie.
### NIS2 en DORA
Sectorale cybersecurity- en operationele veerkrachtkaders evalueren "waar data leeft" naast "wie openbaarmaking kan afdwingen". EU Data Boundary behandelt het eerste deel; de vraag over bedrijfsjurisdictie vereist aparte analyse.
### SecNumCloud / EUCS High
Nationale en EU-brede soevereine-cloudregelingen ([SecNumCloud](/nl/glossary/secnumcloud/), het omstreden [EUCS](/nl/glossary/eucs/) High-niveau) vereisen *zowel* EU-dataresidentie *als* immuniteit van niet-EU juridische processen. Alleen EU Data Boundary voldoet niet aan deze criteria — daarom hebben Amerikaanse hyperscalers joint venture-structuren gebouwd (S3NS, Bleu) voor deze inkoopcategorieën.
## Waar de Data Boundary WEL nuttig voor is
Ondanks de structurele beperkingen heeft de EU Data Boundary echte operationele waarde:
- **Dataresidentie-compliance** voor sectorale of contractuele vereisten die zich richten op fysieke locatie
- **Latentievermindering** voor Europese klantgerichte services
- **Verminderde grensoverschrijdende overdrachtsdocumentatie**last onder de AVG
- **Publieksgerichte soevereiniteitspositionering** die voldoet aan minder geavanceerde inkoopgesprekken
- **Operationele integratie** met de bredere EU-aanwezigheid van Microsoft
Voor organisaties wier soevereiniteitsvereisten beperkt zijn tot dataresidentie (in plaats van bedrijfsjurisdictie), is EU Data Boundary werkelijk nuttig en aanzienlijk beter dan de standaard Amerikaanse dataresidentie.
## Wanneer de Data Boundary NIET voldoende is
Voor organisaties waar soevereiniteitsvereisten bedrijfsjurisdictiebescherming omvatten:
- **Publieke-sectorkopers** onderworpen aan SecNumCloud, Cloud de Confiance of equivalente nationale kaders
- **Gereguleerde sectoren** (financiële diensten onder DORA, gezondheidszorg onder EHDS) met strikte immuniteitsvereisten
- **Gevoelige workloads** waaronder juridische, politieke of concurrentiegevoelige operaties
- **Soevereiniteitscloud-inkoop van lidstaten** met expliciete immuniteitsvereisten
Voor deze categorieën lost de EU Data Boundary de structurele soevereiniteitsvraag niet op. Europese soevereine-cloudaanbieders (OVHcloud, Scaleway, Infomaniak, anderen) of Amerikaanse-hyperscaler joint venture-structuren (S3NS, Bleu) zijn vereist.
## EU Data Boundary vs Europese soevereine cloud
Diverse Amerikaanse hyperscalers hebben "European Sovereign Cloud"-aanbiedingen gelanceerd of aangekondigd die verder gaan dan basis Data Boundary-verplichtingen:
| Aanbod | Type | Soevereiniteitsdiepte |
|----------|------|-------------------|
| **Microsoft EU Data Boundary** | Dataresidentie-verplichting | Beperkt (CLOUD Act-blootstelling blijft) |
| **AWS European Sovereign Cloud** | Aparte EU-only AWS-regio beheerd door EU-dochteronderneming | Verbeterd maar nog steeds onder controle van moeder |
| **Google Sovereign Controls** | Klantgestuurde encryptie + EU-dataresidentie | Beter dan baseline maar Amerikaanse moeder blijft |
| **S3NS (Thales + Google)** | Door Thales gecontroleerde JV met Google-technologie | Echte Franse jurisdictie (SecNumCloud) |
| **Bleu (Capgemini/Orange + Microsoft)** | Franse JV met Microsoft-technologie | Echte Franse jurisdictie (in kwalificatieproces) |
Het patroon: alleen-dataresidentie-aanbiedingen zijn eenvoudiger te bouwen maar minder soeverein; joint venture-structuren met EU operationele controle bieden sterkere soevereiniteit bij grotere operationele complexiteit.
## Praktische implicaties
- **Voor inkoopteams**: verduidelijk of uw soevereiniteitsvereisten gaan over dataresidentie of bedrijfsjurisdictie; de antwoorden bepalen leverancierscapaciteit
- **Voor FG's en compliance**: EU Data Boundary helpt AVG-dataresidentie maar voldoet niet aan Schrems II structurele vragen
- **Voor kopers in gereguleerde sectoren**: alleen EU Data Boundary voldoet niet aan SecNumCloud of sectorale soevereine-cloudvereisten
- **Voor gevoelige workloads** (juridisch, politiek, concurrentiegevoelig): EU Data Boundary is onvoldoende — overweeg Europese soevereine-cloudaanbieders of JV-structuren
- **Voor gewone commerciële workloads**: EU Data Boundary is werkelijk nuttig en beter dan Amerikaanse standaardresidentie
De EU Data Boundary is een betekenisvolle operationele verplichting die één dimensie van cloudsoevereiniteit (dataresidentie) behandelt, terwijl het de diepere structurele dimensie (bedrijfsjurisdictie) niet behandelt. Het begrijpen van het onderscheid is operationeel essentieel voor Europese cloudinkoop in 2026.
Was dit nuttig?
Bedankt voor je feedback!