Ga direct naar de inhoud
Feitelijk · juridisch onderbouwd · geen angst-marketing

Hetzner Falkenstein.
Geen Mountain View. Geen Dublin.

Niet uit ideologie — uit juridische noodzaak. De Amerikaanse CLOUD Act geeft US-autoriteiten toegang tot data in beheer van een US-rechtspersoon, ongeacht waar die data fysiek staat. Voor EU-overheid, zorg, onderwijs en legal is dat niet wegcontracteerbaar.

Daarom draait RighettiOS uitsluitend op Europese infrastructuur. Geen AWS-EU-regio met Amerikaanse moedermaatschappij, geen Azure-EU met Microsoft Corp. erachter. Wel: Hetzner (DE) voor compute en storage, Mollie (NL) voor betalingen, Brevo (FR) voor email.

Soevereiniteits-overzichtSubprocessor-lijstVragen over deployment?
Drie kernpunten

De juridische puzzel in één oogopslag.

CLOUD Act

18 U.S.C. § 2713

US-autoriteiten kunnen data vorderen bij Amerikaanse rechtspersonen, ook als die data in een EU-regio staat. Geen contractuele opt-out mogelijk.

Schrems II

C-311/18 (2020)

EU-Hof verklaarde Privacy Shield ongeldig. Standard Contractual Clauses alléén volstaan niet meer bij risico op US-surveillance.

RighettiOS

NL B.V. · DE-hosting

Hetzner Falkenstein DE-hosting · NL-rechtspersoon. Geen US-moederbedrijf, geen CLOUD Act-jurisdictie, geen SCC-afhankelijkheid. EU-controlerecht 100%.

Hoe het werkt

De CLOUD Act in twee minuten.

Geen jargon. Wat de wet doet, wie het raakt, en waarom een “EU-regio” van een US-vendor het probleem niet oplost.

1

Wat is de CLOUD Act?

De Clarifying Lawful Overseas Use of Data Act (2018, H.R. 4943) amendeert de Stored Communications Act. Kern: Amerikaanse providers moeten op verzoek van een Amerikaanse autoriteit klant-data overhandigen — ongeacht of die data in de EU, Azië of elders fysiek staat.

2

Wie wordt geraakt?

Elke US-rechtspersoon die cloud-diensten levert. AWS (Amazon, US), Azure (Microsoft, US), Google Cloud (Alphabet, US), Salesforce, Slack, GitHub, Notion. Ook AWS-Frankfurt (eu-central-1) of Azure-Dublin: de fysieke locatie verandert de jurisdictie van de moedermaatschappij niet.

3

Waarom contracten dit niet oplossen.

Een Standard Contractual Clause (SCC) tussen verwerker en sub-verwerker kan US-overheidsmandaten niet uitschakelen. Het EU-Hof bevestigde in Schrems II (C-311/18, juli 2020) dat SCC alleen onvoldoende is bij risico op US-surveillance. Aanvullende technische maatregelen (BYOK, encryption-in-use) zijn deels mitigerend, maar voor strikt-vertrouwelijke EU-data niet altijd voldoende.

4

Wat dat betekent voor jou.

Voor een marketing-bureau met algemeen B2B-data is het risico beperkt. Voor overheid (gemeente / provincie / Rijk), zorg (ZH / GGZ / huisarts), onderwijs (PO/VO/MBO/HBO/WO) en juridische dienstverleners betekent het materieel risico: US-autoriteiten kunnen patiëntdata, leerlingdata, burger-correspondentie of cliëntdossiers opvragen zonder dat de EU-verwerker (jij) dit kan weigeren of zelfs hoeft te weten dat het gebeurt.

Onze stack

Geen US-vendors. Per laag traceerbaar.

Elke component met rechtspersoon, land en jurisdictie. Volledige sub-processor-lijst staat op /subprocessors.

Compute · containers · DB
Primair
Vendor
Hetzner Online GmbH
Locatie
Falkenstein, DE
Jurisdictie
BRD-recht · GDPR
Object-storage · backups
Secundair
Vendor
Hetzner Storage Box
Locatie
Nürnberg, DE
Jurisdictie
BRD-recht · GDPR
Office editor · co-auth
Volledige bronvermelding op /subprocessors
Vendor
Open-source basis
Locatie
Self-hosted op Hetzner DE
Jurisdictie
BRD-recht · GDPR
Video · SFU · TURN
Self-hosted
Vendor
OSS WebRTC SFU (self-host)
Locatie
Hetzner DE
Jurisdictie
BRD-recht · GDPR · vendor-naam op /subprocessors
Email · transactional
EU-rechtspersoon
Vendor
Brevo (Sendinblue)
Locatie
Parijs, FR
Jurisdictie
FR-recht · GDPR
Betalingen · iDEAL · SEPA
Onder DNB-toezicht
Vendor
Mollie B.V.
Locatie
Amsterdam, NL
Jurisdictie
NL-recht · PSD2
DNS · CDN edge
EU-rechtspersoon
Vendor
Bunny.net (BunnyWay)
Locatie
Ljubljana, SI
Jurisdictie
SI-recht · GDPR

RighettiOS B.V. zelf is een Nederlandse rechtspersoon, statutair gevestigd in Amsterdam, ingeschreven bij KvK. Geen Amerikaanse moedermaatschappij, geen Amerikaanse aandeelhouders, geen US-board.

Vergelijking

US-cloud vs RighettiOS — punt voor punt.

Geen marketing-zinnen. Tien aspecten die DPO's en procurement-teams elke keer checken.

Aspect
US-cloud (AWS / Azure / GCP)
RighettiOS
Rechtspersoon
AWS Inc / Microsoft Corp / Google LLC (US)
RighettiOS B.V. (NL)
Hosting moeder
Amerikaans bedrijf, US-board
Hetzner Online GmbH (DE)
CLOUD Act (18 U.S.C. § 2713)
Volledig van toepassing
Niet van toepassing
Schrems II SCC-vereisten
SCC + aanvullende maatregelen vereist
Niet nodig — geen US-transfer
Fysieke locatie
Wereldwijd; EU-regio optioneel
Falkenstein DE + Nürnberg DE
Backup-locatie
Vaak meerdere continenten
Hetzner Nürnberg (DE)
Doorverkoop / data-mining
Marketing-data-exchanges, partner-sharing
Contractueel uitgesloten
AI-training op klant-data
Vaak default-aan, opt-out-beleid
Hard uitgesloten in ToS art. 7
Surveillance-orders
Stille gag-orders mogelijk
NL-rechter vereist voor toegang
Procurement-DPA
Standaard-DPA met US-sub-processors
Pure EU-stack, geen US-passthrough
Wat het oplevert

Welke EU-regels makkelijker worden.

Zes regelgevings-domeinen waar een EU-only stack de procurement-discussie verkort.

GDPR Art. 28 (verwerker-verplichtingen)

Met EU-vendors is sub-processor-keten kort en transparant. Geen US-passthrough betekent: geen Schrems II-aanvullende-maatregelen-discussie, geen TIA per data-categorie.

NIS2 (cybersecurity-directive)

Voor essentiële + belangrijke entiteiten (zorg, onderwijs, energie, transport): supply-chain-risk-management is verplicht. EU-only stack vereenvoudigt due-diligence.

EU-AI-Act (high-risk AI in zorg/onderwijs)

Wij doen geen LLM-training op klant-data. Voor wie AI-Act-compliance moet bewijzen aan toezichthouder: geen risico op grijs gebied via US-modellen.

PSD2 + DNB-toezicht (betalingen)

Mollie is een NL-betaalinstelling onder DNB-toezicht. Voor financiële controles is dat een eenduidige juridische positie — geen Stripe-via-Ireland-via-USA-routing.

Procurement / aanbestedingen overheid

Veel EU-aanbestedingen vereisen of preferreren EU-only stack (DigiD-koppelingen, gemeente-procurement, sectorraad-richtlijnen). Een schone EU-positie scheelt RFP-rondes.

AVG (NL) + WGBO (zorg) + Archiefwet

Bewaartermijnen + classificatie + audit-trail moeten herleidbaar binnen EU-jurisdictie. Met EU-vendors is dat lineair; met US-vendors moet je per data-categorie aanvullende-maatregelen-analyse doen.

Kosten · feitelijk

AWS vs Hetzner — vergelijkbare workload.

Geen geheim: Hetzner is goedkoper per CPU-core en per TB. Voor SaaS van onze schaal is dat een serieuze structurele kosten-aftrek — die we doorgeven aan klanten via een vaste, lage prijs (€19/user/mnd).

AWS (eu-central-1)
Compute · 16 vCPU / 64 GB RAM~€700/mnd
Storage · 4 TB SSD (gp3)~€340/mnd
Bandwidth · 5 TB egress~€450/mnd
RDS PostgreSQL · db.r6g.xl~€420/mnd
Maandtotaal indicatief~€1.910/mnd

Plus: NAT-gateway-uren, Inter-AZ-traffic, CloudWatch, Backup. AWS pricing is granulair en stapelt op.

Hetzner (Falkenstein DE)
Dedicated AX102 · 16 cores / 64 GB~€105/mnd
Storage · 2× 1.92 TB NVMe (in box)inbegrepen
Bandwidth · 1 GBit unlimitedinbegrepen
Storage Box 5 TB (backups)~€13/mnd
Maandtotaal indicatief~€118/mnd

Bij 2× redundantie + lasttests: ~€280/mnd. Voor vergelijkbare workload nog steeds < 20% van AWS-kosten.

Wat dat oplevert voor jou

Lagere infrastructuur-kosten = lagere licentie-prijs voor klanten. €19/user/mnd Team-plan is mogelijk omdat we niet 80% van onze omzet kwijt zijn aan US-cloud-margins. Plus: minder afhankelijkheid van valuta-koersen (USD/EUR) en exit-fees.

Bovenstaande prijzen zijn indicatief per 2026-04-26. AWS-pricing varieert per AZ en per Reserved-Instance-keuze; Hetzner publiceert prijzen openbaar. Volledige cost-breakdown op aanvraag.

Eerlijke noot

“Wat over Schrems II en de nieuwste afspraken?”

Eerlijke positie: het EU-US Data Privacy Framework (juli 2023) heeft Privacy Shield vervangen. Of dat houdbaar is op lange termijn, blijft juridisch onzeker. Schrems III ligt voor de hand zodra weer iemand naar het EU-Hof stapt.

Wat is veranderd in 2023?

EU-US Data Privacy Framework (DPF) bevat een “adequacy decision” voor US-bedrijven die zich certificeren onder dit framework. AWS, Microsoft, Google hebben zich gecertificeerd. Voor SCC-doeleinden is dat een verlichting — voor CLOUD Act-mandaten verandert er niets, want dat zijn US-domestische orders.

Wat is nog steeds onveranderd?

CLOUD Act blijft van kracht. Section 702 FISA blijft van kracht. EO 12333 blijft van kracht. De Amerikaanse President kan op elk moment per executive order de DPF herroepen — dat gebeurde eerder met Privacy Shield. Voor data die je écht onder EU-controle wil houden is dit een onhoudbare basis.

Onze positie.

Wij wachten niet op Schrems III. Een EU-only stack is voor onze klanten een toekomst-bestendige keuze: ongeacht welke DPF-versies komen of vallen, ons antwoord blijft hetzelfde — “hosted in Falkenstein, beheerd door een NL B.V.”.

Vendor-keuze

Waarom Hetzner — niet OVH, niet Scaleway.

Drie grote EU-cloud-providers waren reëele kandidaten. Hieronder de afweging — kort en eerlijk.

Hetzner Online GmbH (DE)

  • Duitse rechtspersoon, oprichting 1997, gevestigd in Gunzenhausen, Bayern
  • Datacenters in Falkenstein (Saksen), Nürnberg (Bayern), Helsinki (FI) — uitsluitend EU/EEA
  • Geen Amerikaanse moedermaatschappij, geen US-investors als hoofd-aandeelhouders
  • Goede prijs/performance op dedicated servers (AX-lijn) en cloud (CX-lijn)
  • Storage Box voor backups: secundaire DE-locatie, GDPR-compliant
  • Stabiele track-record, ISO 27001 + ISO 9001 certificering

OVHcloud (FR)

  • Goede kandidaat: Frans bedrijf, EU-only datacenters, beursgenoteerd
  • Strasbourg-incident maart 2021 (datacenter-brand) heeft vertrouwen geraakt
  • Iets duurder dan Hetzner voor vergelijkbare resources
  • Voor enterprise-deployments een serieus alternatief — voor onze schaal is Hetzner kosten-efficiënter

Scaleway (FR)

  • Frans bedrijf, dochter van Iliad-groep, EU-jurisdictie
  • Sterke focus op managed services en serverless — wij gebruiken liever bare-metal voor predictable performance
  • Kleinere installed-base dan Hetzner; community en third-party-tooling minder breed
  • Alternatief voor enterprise-deployments waar managed-PostgreSQL gewenst is
Voor enterprise-tier met specifieke geo-eisen bieden we deployment-opties op OVH (FR) of Scaleway (FR) via Settings → Enterprise. Multi-region multi-vendor is mogelijk — we zijn niet vendor-locked aan Hetzner.
Veelgestelde vragen

Tien vragen die procurement vaak stelt.

Wat als de Amerikaanse president een nieuw Privacy Shield ondertekent?

Privacy Shield (2016) en Data Privacy Framework (2023) zijn beide adequacy decisions onder GDPR — beide aanvechtbaar bij het EU-Hof. Schrems II liet zien dat een handtekening vandaag, morgen ongeldig kan zijn. Voor onze klanten betekent het: ongeacht welk framework geldig is, wij blijven op EU-only stack.

Is alle data écht in Duitsland? Ook backups en monitoring?

Ja. Compute + DB + storage in Hetzner Falkenstein (DE). Backups in Hetzner Nürnberg (DE) als secundaire regio. Logs en monitoring (Better Stack / Plausible) ook EU-rechtspersonen. Sub-processor-lijst toont elke component met land — geen hidden US-passthrough.

Wat met email-deliverability? Brevo werkt toch ook met US-IPs?

Brevo (FR-rechtspersoon) routeert via eigen EU-infrastructuur. Voor email is een 100%-EU-route praktisch onmogelijk omdat veel ontvanger-MX-servers in de US staan (Gmail, Outlook). Wij beheersen wat wij beheersen: jouw transactionele email is opgeslagen onder Brevo (FR/EU), de DKIM/SPF-keys staan in onze EU-infrastructuur. Wat de ontvanger-MX-server doet ligt buiten elke verwerker-controle.

En CloudFlare? Sentry? Stripe? Slack? Notion?

Geen van deze. CloudFlare (US): vervangen door Bunny.net (SI). Sentry (US): zelf gehoste error-tracking op Hetzner. Stripe (US): vervangen door Mollie (NL). Slack (US): geen rol in onze stack. Notion (US): vervangen door RighettiOS Office (self-hosted op Hetzner DE).

Hosten jullie zelf de Office-editor?

Ja. Onze Office-editor is gebaseerd op open-source componenten (zie /subprocessors voor de volledige bronvermelding) en draait in onze eigen containers op Hetzner DE. Geen documenten gaan naar externe vendor-servers — bewerken, opslaan en co-authoring lopen volledig binnen onze EU-infrastructuur.

Kunnen we jullie self-hosten voor extra zekerheid?

Voor enterprise-klanten met absolute soevereiniteits-eisen is een single-tenant private-cloud-deployment beschikbaar. Op Hetzner DE, of op klant-eigen on-premise infrastructure. Contact via /contact.

Wat als Duitsland iets soortgelijks doet als de US met de CLOUD Act?

Wettelijk verschil: in Duitsland (en EU) vereist toegang tot data van een verwerker een rechterlijk bevel of expliciete wet-bevoegdheid. Surveillance is gebonden aan Bundesverfassungsgericht-jurisprudentie en EU-Charter Art. 7+8. Geen buitengerechtelijke gag-orders zoals onder FISA Section 702.

Werkt jullie video (Rooms) ook EU-only? Geen Twilio, geen managed video-cloud?

Ja. Self-hosted OSS WebRTC SFU op Hetzner DE. Geen Twilio, Daily, Agora, Zoom, Teams, Meet of managed video-cloud-passthrough. TURN-servers ook op Hetzner. Exact vendor-naam staat op /subprocessors (AVG art. 28). Voor de gebruiker is dat onzichtbaar — voor procurement is het een hard contract-feature.

Betaal ik premium voor EU-soevereiniteit?

Nee. Onze prijzen (Free / Solo €12 / Team €19) zijn lager dan veel US-cloud-gebaseerde concurrenten. EU-soevereiniteit is structureel goedkoper te leveren omdat Hetzner-resources prijs-efficiënter zijn dan AWS/Azure. We rekenen geen premium voor wat in onze ogen baseline hoort te zijn.

Wat is jullie positie op AI-vendors (OpenAI, Anthropic, Mistral)?

Wij hebben geen LLM-features in product. Geen content-generation, geen auto-summarization, geen auto-tagging. Onze klant-data wordt nooit getraind. Voor wie AI-features wil: Mistral (FR) is een EU-kandidaat — niet in onze roadmap.

Bronnen

Lees zelf. Verifieer.

Soevereiniteit is een deployment-keuze, geen add-on.

RighettiOS levert EU-soevereine configuraties zonder Cloudflare, zonder Sentry, zonder enkele US-afhankelijkheid. Enterprise-klanten kunnen kiezen voor een volledig isolated single-tenant private-cloud-deployment.

Soevereiniteits-overzichtVragen over deployment?Download DPA

Dit is een informatief stuk — geen juridisch advies. Voor bindende procurement-documenten zie SECURITY.md en DPA. De juridische analyse is gebaseerd op publieke bronnen per 2026-04-26; wetgeving kan wijzigen.