Data residency is de geografische locatie waar persoonsgegevens worden opgeslagen en verwerkt. Dat is niet hetzelfde als het hoofdkantoor: een SaaS met hoofdkantoor in de VS kan de data van zijn EU-klanten volledig in de EU hosten, en een EU-bedrijf kan zijn servers in de Verenigde Staten draaien. Wat telt is waar de data fysiek staat en wordt verwerkt.
Voor EU-kopers maakt EU-residency veel eenvoudiger. Het omzeilt de eisen voor doorgifte buiten de EU die uit het Schrems II-arrest volgden en haalt de vraag weg "wat gebeurt er als een Amerikaanse autoriteit de data opvraagt".
Waarom residency geen vinkje is
Data blijft niet vanzelf op één plek. Moderne SaaS-systemen hebben een primaire database, back-up-replica's, log-aggregatoren, e-mailverzenders, analytics-pijplijnen en AI-inferentie-eindpunten. Elke daarvan is een plek waar data heen kan reizen. "Gehost in de EU" zou voor allemaal moeten gelden, niet alleen voor de primaire database.
Sommige leveranciers adverteren EU-hosting maar vertrouwen voor inferentie op een Amerikaanse AI-leverancier. Het klantbericht gaat over de Atlantische Oceaan, het antwoord komt terug, het gesprek wordt in de EU opgeslagen. Voor residency telt die rondreis. De data werd buiten de EU verwerkt, hoe kort ook.
Een complete residency-belofte noemt elke component en waar hij draait. Leveranciers die EU-residency serieus nemen, vermelden dat op hun beveiligings- of sub-verwerker pagina.
EU-residency en AI
AI-inferentie was lange tijd het lastigste residency-probleem. De sterkste modellen draaiden alleen in de VS. Dat is veranderd. Er bestaan EU-regio's voor de grote frontier-model-API's, en in de EU gehoste open-weight-modellen presteren goed genoeg voor vrijwel alle service- en salestaken. Een leverancier die AI volledig in de EU draait, is nu een reële optie, geen compromis.
Let op expliciete taal: "AI-inferentie vindt plaats in de EU" is sterker dan "we gebruiken EU-leveranciers", want het tweede laat ruimte voor fallback naar regio's buiten de EU.
Residency versus encryptie
Sommige leveranciers redeneren dat encryptie residency overbodig maakt. De data is versleuteld, dus de fysieke locatie doet er niet toe, is het argument. Onder de AVG klopt dat niet. Encryptie is een maatregel binnen verwerking. Residency gaat over waar verwerking plaatsvindt. Beide zijn nodig, om verschillende redenen.
In Keloa
In Keloa draait elk systeemcomponent in EU-regio's: opslag, applicatieservers, AI-inferentie, zoeken, back-ups. We noemen ze allemaal in onze sub-verwerkerslijst en leggen EU-residency vast in de Verwerkersovereenkomst (DPA). Zie beveiliging voor het volledige beeld.