Journaal-bericht ·

EU-soevereiniteit als architectuur, niet als verklaring

Door BorgMark Redactie · Soevereiniteit ·Compliance ·Infrastructuur

“Gehost in de EU” is inmiddels de meest gebruikte zin in B2B-SaaS. Het is op zichzelf ook bijna betekenisloos. Dataresidentie in Frankfurt verandert de jurisdictie van het bedrijf dat de dienst draait niet — en het is jurisdictie, niet de locatie van de server, die het juridische team van een gereguleerde klant op het formulier invult.

Dit is de lijn die BorgMark trekt, en de technische keuzes die eruit volgen.

De vraag op het formulier is jurisdictie

De CLOUD Act en vergelijkbare wetgeving stellen Amerikaanse autoriteiten in staat om US-gecontroleerde bedrijven te dwingen data af te geven, ongeacht waar die data staat opgeslagen. Een EU-datacenter dat wordt gerund door een bedrijf met een Amerikaanse moeder is, op het formulier, een toolchain onder buitenlandse jurisdictie. Dat is geen hypothetisch risico dat leveranciers hebben verzonnen — het is de letterlijke tekst op het inkoopsjabloon van iedere gereguleerde koper waarmee we hebben gesproken.

De eerste architecturale keuze is daarom een vennootschapsrechtelijke: BorgMark wordt geëxploiteerd door BV CEEJAY, een Belgisch bedrijf zonder Amerikaanse moeder of dochter. Dat is het fundament waar de rest op rust. Zonder dat fundament is de rest theater.

Sub-verwerkers maken deel uit van het antwoord

Een platform is ook de optelsom van zijn leveranciers. De lijst, in gewone taal:

  • Hetzner Online GmbH (Duitsland) — compute, opslag, database
  • Combell NV (België) — transactionele e-mail
  • Mollie B.V. (Nederland) — betalingen

Dat is de hele lijst. Geen Cloudflare vóór de applicatie. Geen Auth0 / Okta voor SSO. Geen Stripe voor facturatie. Geen Vercel, geen AWS, geen GCP, geen Azure — niet voor “edge functions,” niet voor “image optimization,” niet voor “gewoon analytics.” Elke toevoeging zou hetzij data hetzij metadata blootstellen aan een niet-EU-jurisdictie. We hebben ervoor gekozen ze niet toe te voegen.

Wat dit ons kost

Technische eerlijkheid: kiezen voor EU-only leveranciers is operationeel duurder dan het alternatief. De Amerikaans-hoofdkantoor-hyperscalers hebben mooiere dashboards, meer kant-en-klare diensten en een groter ecosysteem. Daar leveren we in. In ruil krijgen we het antwoord op “waar staat de code, en wie kan toegang afdwingen?” op één regel — en dat antwoord overleeft juridische toetsing.

Voor bureaus waarvan de klanten die vraag nog niet stellen, is dit overhead. Voor bureaus waarvan de klanten die vraag wel stellen, is dit de enige reden om over te stappen.

Wat we hierna publiceren

Dit is de eerste post in wat we als technisch en compliance-dagboek runnen — lang, gedateerd, zonder spin. Onderwerpen die al op de lijst staan: hoe we Forgejo op schaal draaien, wat DORA-auditors werkelijk vragen aan broncodebeheer, en de concrete stappen van een migratie van een GitHub Enterprise-tenant naar BorgMark. Abonneer via RSS om mee te lezen.