Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Een Praktische Gids voor Datasoevereiniteit bij Delen van Gegevens met Derden: Leveranciers, Onderaannemers en Multinationale Omgevingen
Een Praktische Gids voor Datasoevereiniteit bij Delen van Gegevens met Derden: Leveranciers, Onderaannemers en Multinationale Omgevingen

Een Praktische Gids voor Datasoevereiniteit bij Delen van Gegevens met Derden: Leveranciers, Onderaannemers en Multinationale Omgevingen

by Marc ten Eikelder updated maart 9, 2026 Risico van derden
Reading Time: 8 minutes

Datasoevereiniteit is beheersbaar wanneer gegevens binnen één organisatie en rechtsbevoegdheid blijven. Het wordt een governanceprobleem zodra gegevens worden gedeeld — met een leverancier, een onderaannemer, een regionale dochteronderneming of een partner die onder een ander juridisch regime opereert.

De meeste organisaties beheren hun primaire nalevingslaag redelijk goed en verliezen soevereiniteit aan de randen: in de leveranciersketen, bij interne grensoverschrijdende overdrachten binnen multinationale structuren en in de e-mail- en bestandsoverdrachtkanalen die het merendeel van de gevoelige inhoud buiten formele soevereiniteitscontrolekaders brengen.

Deze gids behandelt de wettelijke verplichtingen die met gegevens meereizen in relaties met derden, de soevereiniteitsrisico’s van gecentraliseerde multinationale datamodellen, het over het hoofd geziene soevereiniteitsoppervlak van ongestructureerde gegevens in beweging, wat leverancierscontracten moeten bevatten en waarvoor ze geen vervanging kunnen zijn, en de encryptiearchitectuur die soevereiniteit bij derden technisch afdwingbaar maakt.

Samenvatting

Belangrijkste idee: De gegevensbeheerder blijft aansprakelijk voor hoe verwerkers en subverwerkers omgaan met gegevens, ongeacht de diepte van de contractuele keten. De meeste soevereiniteitsfouten ontstaan niet bij de primaire cloudprovider, maar in de leveranciersketen, bij multinationale interne overdrachten en in ongestructureerde gegevenskanalen — e-mail, bestandsoverdracht en MFT — die aanzienlijke gevoelige inhoud buiten formele soevereiniteitscontroles brengen. De technische basis is klantbeheer van encryptiesleutels: wanneer de gegevensbeheerder sleutels bezit die de leverancier nooit heeft, kan de leverancier geen toegang krijgen tot of leesbare inhoud openbaar maken, ongeacht wettelijke dwang — waarmee het gat wordt gedicht dat contracten alleen niet kunnen dichten.

Waarom dit relevant is: De verplichtingen voor verwerkers uit GDPR Artikel 28, DORA’s vereisten voor ICT-derdenrisico’s (operationeel vanaf januari 2025) en NIS 2’s beveiligingsmandaat voor de toeleveringsketen creëren overlappende verantwoordingsplichten met boetes tot 4% van de wereldwijde omzet en persoonlijke aansprakelijkheid voor het management. Deze verplichtingen gelden evenzeer voor ongestructureerde gegevens in e-mail en bestandsoverdracht als voor gestructureerde gegevens in databases — een onderscheid dat de meeste organisaties nog niet hebben geïmplementeerd.

Belangrijkste inzichten

  1. De gegevensbeheerder is aansprakelijk voor de volledige verwerkingsketen. GDPR Artikel 28 maakt de beheerder verantwoordelijk voor naleving door verwerkers en subverwerkers, ongeacht het aantal contractuele lagen ertussen. Een datalek of soevereiniteitsovertreding door een vierde laag onderaannemer is de wettelijke blootstelling van de beheerder.
  2. Interne overdrachten binnen multinationals zijn internationale overdrachten onder de GDPR. Een gecentraliseerde gegevensopslag in de VS die wordt benaderd door Europese dochterondernemingen is een overdracht naar een derde land en valt onder de vereisten van Hoofdstuk V. Bedrijfseigendom creëert geen uitzondering op de rechtsbevoegdheid.
  3. E-mail en bestandsoverdracht vallen onder dezelfde soevereiniteitsverplichtingen als gestructureerde gegevens. GDPR, NIS 2 en DORA maken geen onderscheid op basis van gegevensformaat. Het handhavingsgat is organisatorisch — de meeste soevereiniteitsprogramma’s richten zich op databases en negeren de kanalen waar gevoelige gegevens daadwerkelijk bewegen.
  4. Klantbeheer van encryptiesleutels is de technische controle die leverancierssoevereiniteit afdwingbaar maakt. Wanneer de gegevensbeheerder sleutels bezit die de leverancier nooit heeft, kan de leverancier geen toegang krijgen tot of leesbare inhoud openbaar maken, ongeacht wettelijke eisen — waardoor het niet meer nodig is te vertrouwen op interne toegangscontroles of soevereiniteitsbeloften van de leverancier.
  5. BYOK- en klantbeheerde sleutelregelingen van grote cloudproviders zijn niet gelijk aan klantbeheer van sleutels. In BYOK/BYOE-opstellingen verwerkt de infrastructuur van de provider de ontsleuteling en behoudt technische toegangsmogelijkheden. Een geldige dagvaarding levert leesbare gegevens op. Klantbeheer van sleutels, waarbij de provider nooit de mogelijkheid tot ontsleuteling heeft, is architectonisch anders — en de enige opzet die daadwerkelijk CLOUD Act- en overheidsrisico’s uitsluit.

Waarom gegevensdeling met derden het grootste soevereiniteitsrisico vormt

Wanneer gegevens directe organisatorische controle verlaten, vermenigvuldigt het soevereiniteitsrisico zich. De gegevensbeheerder behoudt volledige wettelijke aansprakelijkheid onder GDPR Artikel 28 voor hoe gegevens worden verwerkt in de volledige leveranciersketen — maar heeft geen controle meer over de infrastructuur, toegangsbeleid of rechtsbevoegdheid van de verwerkende partij. Het gat tussen aansprakelijkheid en controle is waar de meeste soevereiniteitsfouten ontstaan.

Het CLOUD Act-probleem is vooral nijpend in leveranciersketens. Een EU-organisatie met zorgvuldig ingerichte soevereine infrastructuur kan gevoelige gegevens delen met een in de VS gevestigde leverancier waarvan de infrastructuur volledig onder de CLOUD Act valt. De soevereiniteitsarchitectuur stopt bij de grens van de organisatie; de Amerikaanse bedrijfsstructuur van de leverancier creëert het toegangsrisico dat de EU-organisatie dacht te hebben geëlimineerd. Effectief risicobeheer van derden voor soevereiniteit vereist ofwel controleerbaar technisch bewijs van gelijkwaardige leverancierscontroles — of een architectuur waarbij de leverancier nooit toegang heeft tot leesbare gegevens.

Het regelgevend kader: verplichtingen die met de gegevens meereizen

GDPR Artikel 28 vereist dat verwerking door een verwerker alleen plaatsvindt onder een bindend contract dat GDPR-gelijkwaardige verplichtingen oplegt, ook aan subverwerkers. Beheerders moeten het gebruik van subverwerkers goedkeuren, verplichtingen door de keten laten stromen en volledig aansprakelijk blijven als subverwerkers hier niet aan voldoen. Een leverancier die geen auditklaar bewijs kan leveren van zijn soevereiniteitscontroles voldoet niet aan de vereisten van Artikel 28, ongeacht wat het contract vermeldt.

DORA Artikel 30 vereist dat EU-financiële instellingen specifieke ICT-contractbepalingen opnemen over datalokalisatie, dataresidentie, beheer van encryptiesleutels, incidenttoegankelijkheid en exitstrategieën. DORA vereist expliciet een beoordeling of ICT-leveranciers bescherming kunnen aantonen tegen toegang door overheden uit derde landen — een directe verwijzing naar CLOUD Act-risico. Leveranciers die geen compliant sleutelbeheer kunnen aantonen, veroorzaken actieve DORA-nalevingstekorten voor de financiële instelling.

NIS 2 Artikel 21 vereist dat exploitanten van essentiële diensten beveiligingsmaatregelen voor de toeleveringsketen implementeren die de soevereiniteitsstatus van directe leveranciers en dienstverleners adresseren — en dat deze beoordeling wordt gedocumenteerd. De verplichting reist door de keten: een leverancier waarvan een onderaannemer soevereiniteitsrisico introduceert, creëert NIS 2-blootstelling voor de essentiële dienstverlener aan de top.

Neem de controle over uw gegevens terug met Risicobeheer voor verkopers

Lees nu

Gecentraliseerde opslag bij multinationals: het verborgen soevereiniteitsprobleem

Multinationals centraliseren vaak gegevensopslag — één datawarehouse, een uniforme CRM, een gecentraliseerd HR-platform — toegankelijk voor dochterondernemingen in diverse landen. Elke toegang tot EU-persoonsgegevens vanuit een gecentraliseerde niet-EU-opslag is een internationale overdracht die onder GDPR Hoofdstuk V valt. Bedrijfseigendom biedt geen uitzondering: een EU-dochter die gegevens benadert in de centrale opslag van een Amerikaans moederbedrijf, is een overdracht waarvoor een adequaatheidsbesluit, SCC’s met TIA’s of een ander geldig mechanisme vereist is. Het CLOUD Act-risico geldt voor de Amerikaanse provider van de centrale opslag, ongeacht van welke dochter de gegevens afkomstig zijn.

Gecentraliseerde modellen concentreren ook het risico: één CLOUD Act-verzoek of handhavingsactie bereikt direct de gegevens van alle dochterondernemingen. Voor multinationals die onder NIS 2 of DORA vallen in meerdere lidstaten, leidt één centrale soevereiniteitsfout tot blootstelling in diverse rechtsbevoegdheden tegelijk. De soevereiniteitsconforme oplossing is niet per se centralisatie opgeven — maar klantbeheer van encryptie toepassen op het dataniveau, zodat de centrale opslag alleen ciphertext bevat en de ontsleutelingssleutels bij de gegevensbeherende entiteiten in hun eigen rechtsbevoegdheid blijven.

E-mail en bestandsoverdracht: het over het hoofd geziene soevereiniteitsoppervlak

Datasoevereiniteitsprogramma’s richten zich vrijwel uitsluitend op databases en gestructureerde gegevens — en missen de kanalen waar het merendeel van de gevoelige gegevens daadwerkelijk beweegt: e-mailbijlagen, platforms voor bestandsoverdracht en MFT-workflows. Een contract dat naar een leverancier wordt gemaild, een financieel rapport gedeeld via een samenwerkingsplatform, een due diligence-bestand dat naar het buitenland wordt verstuurd — elk is een grensoverschrijdende gegevensoverdracht die onder dezelfde GDPR-, NIS 2- en DORA-verplichtingen valt als een database-replicatie.

GDPR geldt voor elke verwerking van persoonsgegevens, ongeacht het formaat — dus ook voor e-mailtransmissie. Het handhavingsgat is organisatorisch: soevereiniteitscontroles worden toegepast op databases, maar niet op de e-mail- en bestandsoverdrachtkanalen die deze met de buitenwereld verbinden, waardoor er aanzienlijke perimeterlekken ontstaan. De praktische soevereiniteitsvereisten voor ongestructureerde gegevens in beweging zijn identiek aan die voor gestructureerde gegevens: encryptie tijdens verzending en opslag, toegangscontrole bij grensoverschrijdende overdracht, audittrails voor elke overdrachtsactie en beleidsafdwinging die overdracht naar niet-conforme bestemmingen voorkomt — toegepast op platformniveau, omdat de gegevens de infrastructuur van de organisatie volledig verlaten wanneer ze met een derde worden gedeeld.

Wat leverancierscontracten moeten bevatten — en waarvoor ze geen vervanging zijn

Leverancierscontracten voor soevereiniteitsgevoelige gegevens moeten bevatten: beperkingen op verwerkingsdoel en instructie; encryptiestandaarden en sleutelbeheerarchitectuur (met specificatie of de leverancier ontsleutelingsmogelijkheden behoudt); subverwerkerautorisatie en verplichtingendoorstroming; termijnen voor meldingen van datalekken; auditrechten met specifieke reikwijdte; teruglevering of verwijdering van gegevens bij beëindiging; en — voor DORA-gereguleerde entiteiten — datalokalisatie, sleutelbeheer en exitbepalingen conform Artikel 30.

Wat contracten niet kunnen, is minstens zo belangrijk. Een contract dat een Amerikaanse leverancier verplicht EU-gegevens te beschermen tegen toegang door de overheid, verandert niets aan de wettelijke plicht van de leverancier om te voldoen aan een geldig CLOUD Act-verzoek. Een dataresidentiebepaling creëert aansprakelijkheid bij schending — maar voorkomt niet technisch dat gegevens een rechtsbevoegdheid verlaten. Contracten documenteren verplichtingen; ze creëren geen technische controles. De centrale vraag is dus niet of het contract volledig is, maar of de leverancier architectonisch kan aantonen dat EU-gegevens beschermd zijn tegen gedwongen openbaarmaking, ongeacht wettelijke eisen.

Klantbeheer van encryptiesleutels: de technische basis

Klantbeheer van encryptiesleutels lost het soevereiniteitsrisico in de leveranciersketen bij de bron op. De gegevensbeheerder bezit sleutels die de leverancier nooit heeft — waardoor de leverancier technisch niet in staat is toegang te krijgen tot of leesbare inhoud openbaar te maken, ongeacht wettelijke eisen. Dit is architectonisch anders dan BYOK/klantbeheerde sleutelregelingen, waarbij de infrastructuur van de provider de ontsleuteling uitvoert en toegangsmogelijkheden behoudt. In een BYOK-opzet levert een geldige dagvaarding leesbare gegevens op. Met klantbeheer van sleutels bezit de provider alleen ciphertext die hij niet kan ontsleutelen.

Toegepast op gegevensdeling met leveranciers betekent dit dat gevoelige gegevens de leverancier bereiken, al versleuteld met sleutels die de leverancier nooit bezit. De leverancier kan deze opslaan, verzenden en verwerken — maar niet lezen, openbaar maken of voldoen aan een overheidsverzoek om leesbare inhoud. Soevereiniteit wordt behouden niet omdat de leverancier passende beloften heeft gedaan, maar omdat de leverancier technisch niet in staat is deze te schenden. Dit vereenvoudigt ook de beoordeling van leverancierssoevereiniteit: in plaats van elke leverancier te auditen op toegangscontroles, rechtsbevoegdheid en subverwerkersketen, behoudt de gegevensbeheerder soevereiniteit via één architectonische controle die wordt toegepast voordat de gegevens de eigen infrastructuur verlaten.

Hoe Kiteworks het soevereiniteitsgat bij derden dicht

Het Kiteworks Private Data Network biedt datasoevereiniteit bij derden over elk kanaal dat gevoelige gegevens gebruiken om een organisatie te verlaten — e-mail, bestandsoverdracht, MFT, webformulieren en API’s — onder één uniform beleidskader. Door klantbeheerde encryptiesleutels, uitsluitend in handen van de gegevensbeheerder en nooit toegankelijk voor Kiteworks, kan Kiteworks geen toegang krijgen tot klantgegevens, niet reageren op een dagvaarding met leesbare inhoud en niet worden gedwongen door welke overheid dan ook om ontsleutelde gegevens te overhandigen.

De soevereiniteitsgarantie is architectonisch: deze geldt ongeacht welke wettelijke eisen aan Kiteworks worden gesteld of welke leverancier de gedeelde gegevens ontvangt. Single-tenant-inzet op de door de klant gekozen locatie plaatst gegevens onder de rechtsbevoegdheid en infrastructuurcontrole van de gegevensbeheerder. Zero trust beveiligingsarchitectuur regelt alle toegang van leveranciers en onderaannemers, waarbij elk event wordt vastgelegd in onveranderlijke audittrails via het CISO Dashboard — waarmee de auditcoöperatie uit Artikel 28, DORA-operationele documentatie en NIS 2-bewijs voor de toeleveringsketen wordt geleverd die toezichthouders eisen. Vooraf geconfigureerde compliance-rapportages voor GDPR, NIS 2, DORA en ISO 27001 ondersteunen de verantwoordingsdocumentatie die geen enkel leverancierscontract zelfstandig kan genereren.

Wilt u zien hoe Kiteworks de gegevensdeling van uw organisatie met derden beveiligt over elk kanaal en in elke rechtsbevoegdheid? Plan vandaag nog een aangepaste demo.

Veelgestelde vragen

Ja. GDPR Artikel 28 maakt de gegevensbeheerder volledig aansprakelijk voor verwerking door verwerkers en subverwerkers, ongeacht de diepte van de contractuele keten. Een soevereiniteitsfout van een leverancier — een door de US CLOUD Act afgedwongen openbaarmaking, een schending van dataresidentie — is de wettelijke blootstelling van de beheerder. Effectief soevereiniteitsbeheer van derden vereist ofwel controleerbaar technisch bewijs van gelijkwaardige controles door de hele keten, of een architectuur — klantbeheer van encryptiesleutels — waarbij leveranciers nooit toegang hebben tot leesbare gegevens.

GDPR, NIS 2 en DORA maken geen onderscheid op basis van gegevensformaat. E-mailtransmissie, bestandsoverdracht en MFT-workflows die persoonsgegevens over EER-grenzen vervoeren, zijn grensoverschrijdende overdrachten die onder dezelfde vereisten van Hoofdstuk V vallen als database-replicatie. Het handhavingsgat is organisatorisch — de meeste soevereiniteitsprogramma’s passen controles toe op databases terwijl e-mail en bestandsoverdracht onbenoemd blijven — maar de wettelijke verplichting geldt voor beide.

Het verschil is of de provider technische toegangsmogelijkheden behoudt. In BYOK- en klantbeheerde sleutelregelingen beheert de klant formeel de sleutelrotatie en het beleid — maar de infrastructuur van de provider voert de ontsleuteling uit en kan leesbare gegevens produceren bij een dagvaarding. Bij klantbeheerde encryptiesleutels bezit de gegevensbeheerder sleutels in infrastructuur waar de provider nooit bij kan; de provider bezit alleen ciphertext die hij niet kan ontsleutelen, ongeacht wettelijke eisen. BYOK beperkt het risico op vrijwillig misbruik; het voorkomt geen door de overheid afgedwongen openbaarmaking. Alleen klantbeheer van sleutels sluit US CLOUD Act- en overheidsrisico’s daadwerkelijk uit.

Bedrijfseigendom biedt geen uitzondering op de GDPR. Een EU-dochter die persoonsgegevens benadert in de centrale opslag van een Amerikaans moederbedrijf, is een overdracht die onder GDPR Hoofdstuk V valt — waarvoor een adequaatheidsbesluit, SCC’s met TIA’s of een ander geldig mechanisme vereist is. Intragroepsgegevensdelingsafspraken zijn geen vervanging voor naleving van Hoofdstuk V. Gecentraliseerde modellen concentreren ook het US CLOUD Act-risico: één verzoek kan direct de gegevens van alle dochterondernemingen bereiken. Klantbeheer van encryptie op het dataniveau — waarbij elke gegevensbeherende entiteit zijn eigen sleutels beheert — behoudt operationele centralisatie en elimineert deze geconcentreerde soevereiniteitsblootstelling.

Minimaal: beperkingen op verwerkingsdoel; encryptiestandaarden met specificatie of de leverancier ontsleutelingsmogelijkheden behoudt; subverwerkerautorisatie en verplichtingendoorstroming; termijnen voor datalekmeldingen; auditrechten die verifieerbaar technisch bewijs opleveren; teruglevering of verwijdering van gegevens bij beëindiging; en — voor DORA-gereguleerde entiteiten — datalokalisatie, sleutelbeheer en exitbepalingen conform Artikel 30. Voor overdrachten naar Amerikaanse leveranciers moeten contracten de TIA-conclusie en de architectuur van klantbeheer van encryptiesleutels documenteren. Kiteworks levert vooraf gebouwde compliance-documentatie voor GDPR, DORA, NIS 2 en ISO 27001.

Aanvullende bronnen

  • Blog Post
    Datasoevereiniteit: een best practice of wettelijke vereiste?
  • eBook
    Datasoevereiniteit en GDPR
  • Blog Post
    Voorkom deze valkuilen bij datasoevereiniteit
  • Blog Post
    Datasoevereiniteit beste practices
  • Blog Post
    Datasoevereiniteit en GDPR [Inzicht in gegevensbeveiliging]

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks