Stel dat je als mediabedrijf, gemeente of zorginstelling data verzamelt over websitegedrag. Die data gaat ergens naartoe. Ze wordt opgeslagen en verwerkt door software van een bedrijf dat ergens gevestigd is, onder de wetgeving van dat land. Die factoren bepalen of je als organisatie controle houdt over die gegevens.
Waarom serverlocatie onvoldoende is
Een veelgehoord misverstand: "onze data staat op servers in Europa, dus we zitten goed." Dat klopt niet.
Bedrijven als Google hebben servers in Frankfurt en Dublin. Maar Google blijft een Amerikaans bedrijf. Amerikaanse wetgeving (de CLOUD Act uit 2018 en FISA Section 702) verplicht Amerikaanse bedrijven om data te overhandigen aan de Amerikaanse overheid als die daarom vraagt. Ook als die data op een server in Europa staat.
In 2020 stelde het Europees Hof van Justitie in de Schrems II-uitspraak vast: het maakt niet uit waar de server staat. Het maakt uit wie er zeggenschap over heeft. In 2022 oordeelden de privacytoezichthouders in Oostenrijk, Frankrijk en Italië vervolgens dat Google Analytics in strijd is met de Europese privacywetgeving.
Als reactie kwam in juli 2023 het EU-US Data Privacy Framework (DPF), dat op dit moment een juridische basis biedt voor datatransfers naar de VS. Maar het DPF schakelt die surveillancewetten niet uit, het voegt toezichtsmechanismen toe. En het track record is niet geruststellend: twee eerdere versies van zo'n framework (Safe Harbor in 2015, Privacy Shield in 2020) zijn door het Europees Hof ongeldig verklaard. Privacyorganisatie noyb heeft aangekondigd ook het DPF aan te vechten.
Een Europese serverlocatie is geen garantie voor Europese controle.
Vijf dimensies van soevereiniteit
Om analytics tools te beoordelen op soevereiniteit, werken we met vijf dimensies die samen bepalen in hoeverre een organisatie daadwerkelijk controle houdt over de data die ze verzamelt.
1. Datalocatie EU - worden gegevens opgeslagen en verwerkt op Europese servers die niet onder buitenlandse jurisdictie vallen?
2. Bedrijfsvestiging EU - is het bedrijf dat de dienst aanbiedt gevestigd in een EU-lidstaat, onderworpen aan Europees recht?
3. Open source - is de broncode publiek controleerbaar?
4. Data-eigenaarschap - ben je eigenaar van de data, zonder dat de aanbieder die aggregeert, doorverkoopt of gebruikt voor eigen doeleinden?
5. Self-hosted - is de tool onafhankelijk te gebruiken op eigen infrastructuur?
Web-analytics en soevereiniteit
Laten we de populairste web-analytics platforms toetsen op basis van die dimensies:
Google LLC / VS
Adobe Inc. / VS
Piwik PRO sp. z o.o. / Polen (EU)
Simple Analytics B.V. / Nederland (EU)
Open source / eigen EU-infrastructuur
Open source / eigen EU-infrastructuur
Eigen stack uit open source componenten
Meer weten over de technische verschillen, pricing en implementatie van deze tools? Lees onze uitgebreide vergelijking van analytics platforms.
Wil je weten welke tool het beste past bij jouw specifieke situatie? Neem contact op voor een kennismakingsgesprek.
Bronnen: Europees Hof van Justitie (Schrems II, juli 2020), Autoriteit Persoonsgegevens (handhavingscommunicaties 2022-2025), noyb.eu, officiële documentatie van alle besproken platforms, EU Declaration on Digital Sovereignty (november 2025). Scores zijn indicatief; raadpleeg een AVG-specialist voor definitief advies over jouw specifieke situatie.