Soevereiniteit — eerste-orde-keuze, geen feature

Digitale huur of digitale eigendom — kies je stack.

EU-MKB en publieke sector draaien op een lappendeken van overwegend US-tools. Onder de CLOUD Act kunnen Amerikaanse autoriteiten data eisen die in beheer is van een US-rechtspersoon — ook als die data fysiek in Frankfurt of Dublin staat. Dat is geen soevereiniteit. Dat is digitale huur.

RighettiOS is anders gebouwd. Eén systeem. EU-eigendom. Hetzner DE-gehost. Mollie payments. Brevo mail. ECB-rates. Geen AI-training op klantdata. Geen vendor-lock-in. Wat erin gaat, blijft in Europa.

Plan architectuur-gesprek Bekijk de stack Sub-processor-lijst

US-cloud-providers

Europese landen tax-code-first + wereld-modus

e-invoice formaten native

HMAC-SHA256

hash-chained audit

De thesis

Vier observaties die we niet meer kunnen negeren.

Soevereiniteit is geen marketing-term. Het is een juridische, infrastructurele en contractuele werkelijkheid. Hier is hoe wij die werkelijkheid wegen.

CLOUD Act (18 U.S. Code § 2713)

Amerikaanse autoriteiten kunnen data vorderen die in beheer is van een US-rechtspersoon, ongeacht waar de servers staan. Dat geldt voor Amazon, Google, Microsoft, Salesforce, Dropbox — ook als hun EU-regio in Frankfurt draait. Niet weg te contracteren.

Schrems II (CJEU C-311/18, 2020)

Het Hof oordeelde dat standaard data-transfers van EU naar VS onvoldoende beschermd zijn. Standard Contractual Clauses lossen het CLOUD Act-conflict niet op. Voor gereguleerde sectoren is de juridische rest-onzekerheid materieel.

Digitale huur

Wie op US-cloud bouwt, huurt zijn eigen administratie. Feature-roadmap, prijs en jurisdictie worden eenzijdig bepaald door de aanbieder. Migratie kost maanden, soms jaren. Lock-in is geen toeval — het is het verdienmodel.

Onze tegenhanger

Eén systeem. EU-eigendom. Hetzner DE. Mollie NL. Brevo FR. ECB rates. Geen AI-training op klantdata. Data-portability altijd-aan (CSV/JSON/XAF/UBL/Peppol/PDF-A). Wat erop gebouwd wordt, wordt in Europa bedacht.

De stack

Zes componenten. Allemaal in Europa.

Geen Amazon AWS. Geen Microsoft Azure. Geen Google Cloud. Geen Stripe. Geen Zoom. Geen DocuSign. Geen Sentry.io.

Hosting

Hetzner

Falkenstein, DE

Compute · object-storage · backups

Database

PostgreSQL

self-managed, Hetzner DE

Multi-tenant of single-tenant per workspace

Betalingen

Mollie

Amsterdam, NL

iDEAL · SEPA · CC · webhook-paid

E-mail

Brevo

Parijs, FR

Transactional · bounce-tracking · templates

Office-edit

Open-source basis

self-host, Hetzner DE

WOPI · LibreOffice-engine · documents · spreadsheets

FX-rates

ECB

Frankfurt, DE

Daily reference rates · cron-fetch

De data-flow

jij upload bestandRighettiOS app · Hetzner DEPostgreSQL · Hetzner DEObject-storage · Hetzner DEbackup · Hetzner DE (geo-redundant binnen EU)

Geen pad in deze keten verlaat de Europese Unie. E-mail-notificatie via Brevo (FR). Betaal-webhook via Mollie (NL). Dat is alles.

Verifieerbare claims

Zes nullen die er toe doen.

US-cloud-providers

AWS / Azure / GCP services

data-flows naar VS

AI-training op klantdata

100%

EU-rechtspersoon-stack

100%

data-portability default-aan

De CI-pipeline scant elke deploy op verboden vendors (AWS-SDK, Stripe, Google Analytics, Firebase, Vercel-managed-DB, Sentry.io, etc.). Een match blokkeert de deploy. Bron-script: scripts/eu-sovereignty-check.ts. Live data-residency-claim: GET /api/platform/data-residency.

Compliance-mapping

Hoe we kaders technisch invullen.

Geen audit-keurmerken op de homepage. Wel een eerlijke mapping van waar we staan per kader, met de exacte controle die het invult.

GDPR / AVG

Verordening 2016/679

Art. 28

Verwerker-overeenkomst (DPA)

DPA-template + acceptance-audit per workspace · custom-DPA-upload

Art. 30

Verwerkingsregister

Sub-processor-registry publiek + per-workspace audit-log

Art. 32

Beveiliging van verwerking

AES-256-GCM at-rest · TLS 1.3 in-transit · HMAC-chained audit · bcrypt cost 12

Art. 35

DPIA

DPIA-templates per sector (overheid · zorg · onderwijs · legal)

NEN-7510

Informatiebeveiliging in de zorg

Stage-1

Audit-voorbereiding

Sovereign-tier voldoet aan technische controls · onafhankelijke audit beschikbaar voor enterprise-klanten op aanvraag

5.1

Beleidsdocumenten

Workspace-niveau policies + 2FA-enforcement + IP-allowlist

8.2

Toegang op basis van rol

Rank-based hierarchy (OWNER 6 → GUEST 2) + werkplek-per-rol

12.4

Logboek + audit

HMAC-SHA256 hash-chain · tamper-evident · 90+ AuditAction types

ISO 27001

Information security management

Stage-1

Audit-voorbereiding

Technische controls volledig ingericht · onafhankelijke audit beschikbaar voor enterprise-klanten op aanvraag

A.5

Information security policies

Workspace-policies + plan-inheritance bij concern

A.9

Access control

Step-up reauth · passkeys · IP-allowlist · domain-SSO

A.12.4

Logging and monitoring

Hash-chain audit + open-source structured JSON logger (MIT, in-process)

NIS2 + DORA

EU 2022/2555 + EU 2022/2554

Art. 21

Security maatregelen

Encryption at-rest · login-anomaly · IP-blocks · 2FA-enforce

Art. 23

Incident-meldplicht

In-app + email + Slack-channel security-alerts (privilege-changes, IP-blocks)

DORA 5

ICT-risicobeheer

Audit-export · sub-processor-notify-30-days · break-glass-procedure

BIO

Baseline Informatiebeveiliging Overheid (NL)

Basis

Verplicht voor gemeenten sinds 2020

Sovereign-tier + Hetzner DE + DPA-annex per sector

Hoog

Verhoogd niveau

Single-tenant private instance + CMK/BYOK voor enterprise-tier

Externe audit-keurmerken (ISO 27001, NEN-7510 stage-1, BIO-scan) zijn meerjarenpaden. Tot certificering documenteren we de architectuur en mappen we per controle — conform de eis van de meeste enterprise-procurement-trajecten.

Wat erop staat — en wat niet

Twaalf categorieën. Twaalf bewuste keuzes.

Voor elke leverancier-categorie hebben we een EU-equivalent uitgekozen of zelf gebouwd. Niet één US-vendor sluipt langs als "voor nu".

Categorie

Wat het niet is

Wat het wél is

Cloud

AWS · Azure · Google Cloud

Hetzner Cloud (Falkenstein DE)

Database-as-a-Service

AWS RDS · Azure SQL · Vercel Postgres

Self-managed PostgreSQL op Hetzner

Object-storage

AWS S3 · Cloudflare R2 · Backblaze

Hetzner Object Storage

Betalingen

Stripe · Square · PayPal

Mollie (NL)

E-mail

SendGrid · Postmark · Resend · Mailgun

Brevo (FR)

Office-edit

Microsoft 365 · Google Docs

RighettiOS Office (self-host op Hetzner DE)

Video

Zoom · Teams · Daily · Twilio · Agora · managed video-cloud

Eigen SFU op Hetzner DE + zelf-gehoste TURN/STUN

E-signature

DocuSign · Adobe Sign · HelloSign

ProjectAgreement-native (HMAC) of DocuSeal self-host

Drive

Google Drive · Dropbox · OneDrive

Eigen Drive op Hetzner Object Storage

Analytics

Google Analytics · Segment · Mixpanel

Geen tracking-pixels · server-side telemetry

Error-monitoring

Sentry.io · Datadog · New Relic

Sentry EU OR self-hosted GlitchTip

Automation

Zapier · Make.com · IFTTT (US-routes)

Native webhooks + Make.com EU-instance

Vier sectoren in detail

Wie hier baat bij heeft.

Per sector een aparte pagina met persona, workflow, compliance-mapping en pijnpunten — zodat procurement zonder telefoontje kan oordelen.

Advocaten · notariaten · juristen

Legal

Beroepsgeheim is wettelijk absoluut. Onder CLOUD Act-blootstelling wordt het feitelijk niet houdbaar. RighettiOS past in een NOvA-conforme inrichting met 2FA-enforcement, IP-allowlist en HMAC-chained audit.

Sectorpagina openen

Universiteiten · hogescholen · ROC

Onderwijs

Studentdata vraagt om EU-residency en SURF-conforme verwerking. Werkplek-per-rol voor docent/student/admin. Geen profiling-cookies. Drive met classification-cascade voor toetsmateriaal.

Sectorpagina openen

Gemeenten · provincies · waterschappen

Overheid

BIO-baseline + NL-Cloud-richtlijnen vragen sovereign-architectuur. Plus: HR-OR + lokaal overleg + CAO Gemeenten H12 native ingebouwd voor de personeelskant.

Sectorpagina openen

Zorginstellingen · GGZ · paramedisch

Zorg

NEN-7510-pad + AVG art. 9. Praktijkvoering, niet EPD. Rooms voor MDO. Drive met classification voor cliënt-context. BIG-registratie-tracking voor zorgprofs.

Sectorpagina openen

Deployment-niveaus

Vier niveaus van isolatie en controle.

Hetzelfde product. Verschillend deployment-profiel. Hoe hoger het niveau, hoe meer isolatie + controle — en hoe hoger de prijs. Eerste twee niveaus zijn direct te gebruiken.

Niveau 1

Standaard SaaS

Direct beschikbaar

Multi-tenant op Hetzner DE. Cloudflare aan (optioneel uit). Sentry optioneel. Geschikt voor MKB zonder sector-specifieke compliance-eisen. Zelfde codebase als alle hogere niveaus.

Multi-tenantHetzner DESelf-service onboarding

Niveau 2

Sovereign SaaS

Direct beschikbaar · env-flags

Multi-tenant maar zónder US-dependencies: Cloudflare uit, Sentry uit, geen optionele US-integraties. Eén env-set schakelt dit om. Voor scale-ups die soevereiniteit zonder private-instance-kost willen.

Multi-tenantCloudflare uitSentry uit

Niveau 3

Private instance

Via sales · onboarding ±2 weken

Single-tenant: eigen database, eigen Redis, eigen object-storage, eigen URL. Volledige isolatie van andere klanten. Customer-Managed Keys (BYOK) mogelijk. Voor overheid, zorg, onderwijs, legal en enterprises die contractueel geen shared infrastructure mogen gebruiken.

Single-tenantBYOK optioneelEigen URL

Niveau 4

On-prem of klant-VPC

Op aanvraag

Volledige on-prem- of VPC-deployment bij klant (eigen Hetzner-account of interne cluster). Beschikbaar voor enterprise-klanten met ≥1000 users en eigen support-contract.

Klant-VPC≥1000 usersAparte support-contract

Bewijs, niet beloften

Wat procurement aanzet voor een handtekening.

Elk van deze bewijsstukken is real-time uit het product te halen — niet een PDF van vorig jaar.

HMAC-SHA256 hash-chained audit

Elke audit-event heeft prevHash + hmac, cryptografisch onweerlegbaar. 90+ AuditAction types, retentie per workspace. POST /api/audit/verify draait chain-check on demand.

DPA · per workspace

Standaard-DPA en custom-DPA per workspace. Acceptance-audit per versie. Sub-processor-notification 30 dagen vooraf bij wijzigingen (AVG art. 28).

Sub-processor-registry · publiek

Volledige lijst op /subprocessors met naam, locatie en doel. Onderdeel van procurement-bundle. Klanten worden 30 dagen vooraf genotificeerd bij wijzigingen.

Live data-residency-API

GET /api/platform/data-residency toont per dataset waar het fysiek staat. Verifieerbaar voor procurement. Niet "beloofd" — meetbaar.

Encryption at-rest + in-transit

AES-256-GCM at-rest voor CONFIDENTIAL+ classification. TLS 1.3 in-transit. TOTP-secrets, sessie-data en API-keys allemaal versleuteld at-rest.

In-app compliance-PDFs

Workspace-owner genereert downloadbaar DPA · DPIA · sub-processor-registry · audit-export. Procurement-ready zonder mailwisselen.

Veelgestelde vragen

Vragen die procurement het eerst stelt.

Wat is de CLOUD Act precies, en wat betekent het voor onze data?

De CLOUD Act (18 U.S. Code § 2713, 2018) verplicht US-bedrijven om data te overhandigen op verzoek van Amerikaanse autoriteiten — ongeacht waar de servers staan. Dat geldt voor AWS, Azure, Google Cloud, Salesforce, Dropbox, ook als hun EU-regio in Frankfurt of Dublin draait. RighettiOS wordt gehost op Hetzner (DE-rechtspersoon) en gebruikt geen US-cloud-provider in de keten. Daardoor geen materiële CLOUD Act-blootstelling.

Schrems II — wat veranderde dat?

Het Hof van Justitie EU oordeelde in 2020 (CJEU C-311/18) dat standaard data-transfers naar de VS onvoldoende beschermd zijn onder GDPR. Standard Contractual Clauses verkleinen het probleem maar lossen het niet op zolang de US CLOUD Act bestaat. Voor gereguleerde sectoren (overheid, zorg, onderwijs, legal) is dat juridisch rest-risico materieel. RighettiOS vermijdt dit door volledig binnen de EU te blijven.

Kan onze data ooit de EU verlaten?

Nee, niet zonder expliciete opt-in en DPO-review per geval. Standaard-stack is volledig EU. De CI-pipeline blokkeert deploys met US-vendors. GET /api/platform/data-residency toont per dataset de fysieke locatie. Backup-strategie is geo-redundant binnen de EU (Hetzner Falkenstein + Hetzner Helsinki of vergelijkbaar EU-EU).

Hoe weten we dat de stack zegt wat hij zegt?

Drie bewijsstukken: (1) sub-processor-registry op /subprocessors met naam, locatie en doel van elke verwerker; (2) live data-residency-API; (3) audit-export met HMAC-chain als cryptografisch onweerlegbaar logboek. Voor enterprise-procurement leveren we daarnaast compliance-PDF-bundle (DPA · DPIA · sub-processor-snapshot · audit-export).

Wat als jullie ooit een sub-processor wijzigen?

30 dagen vooraf aangekondigd via SubProcessorNotification (AVG art. 28). Klanten kunnen binnen die 30 dagen objectie aantekenen. Voor enterprise-tier wordt notificatie ook per e-mail naar de DPO gestuurd. Wijziging zonder vooraankondiging is contractueel verboden.

Hoe loopt het DPA-proces?

Voor MKB: standaard-DPA wordt bij sign-up geaccepteerd, met audit-trail per versie. Voor enterprise: jouw DPA-template uploaden in de workspace; wij review + accepteren binnen 5 werkdagen. Sectorale DPA-annex voor overheid (BIO/Wdo), zorg (NEN-7510 / AVG art. 9), onderwijs (SURF / AVG-onderwijs), legal (NOvA / Wna).

Krijgen we een data-export bij vertrek?

Altijd-aan, geen "premium-tier voor export". CSV/JSON/XAF/UBL/Peppol-BIS/PDF-A. Workspace-export schema v1 levert een complete JSON-bundle van de hele workspace. Per-resource exports (invoices, tasks, contacts, time, journals) los beschikbaar. Geen termijn — opzegbaar zonder boete.

Wat als RighettiOS zelf wordt overgenomen door een US-partij?

Statutair vastgelegd: NL-rechtspersoon onder NL-recht. Bij elke transactie wordt de EU-soevereiniteits-clausule meegegeven. Mocht dat ooit veranderen, dan krijgen klanten 30 dagen vooraf notificatie + complete data-export op kosten van RighettiOS. Lock-in is geen verdienmodel hier.

"EU-soeverein is geen feature. Het is het uitgangspunt."

— interne DNA-richtlijn nr. 1

Plan architectuur-gesprek Sub-processor-lijst DPA-template

Procurement-bundle direct te downloadenReactie binnen één werkdagDPA-review < 5 werkdagen

Enterprise features · Security · Regelgeving · Waarom niet AWS