Privacy Ooit was het IP-adres transparant: via deze cijfercode kon je de herkomst van data achterhalen. Dat is nu anders, doordat een steeds groter deel van de virtuele wereld achter de voordeuren van grote hyperscalers zit. Daar kunnen buitenstaanders helemaal niet meer meekijken.
Zakelijke applicaties van een aantal Nederlandse gemeenten worden ook buiten Europa gehost.
Toen Merijn de Jonge cloudruimte wilde huren voor zijn start-up, koos hij bewust voor een datacenter dat in Europa staat. Dat leek hem een goede extra stap om aan de Europese privacywet te voldoen. Het werd het grote datacentrum in de Eemshaven in Groningen, van het Amerikaanse Google Cloud.
Daar draaien de applicaties van zijn bedrijf MindYourPass inmiddels al jaren. Het bedrijf biedt een alternatief voor traditioneel wachtwoordbeheer. Het is gegroeid en heeft kantoorruimte in een van de gebouwen voor ‘scale-ups’ van de High Tech Campus Eindhoven. De Jonge heeft samen met zijn zakenpartner tien man in dienst.
Hoewel De Jonge een lange technische achtergrond heeft – hij is gepromoveerd in softwareontwikkeling – heeft hij de afgelopen maanden veel bijgeleerd over hoe dataverkeer loopt. De Jonge dacht dat de data van zijn bedrijf met de keuze voor een datacentrum in de Eemshaven fysiek in Nederland zouden blijven. Maar die veronderstelling is gaan wankelen. Hij weet niet zeker hoe zijn data reizen, beseft hij inmiddels. En dus ook niet of die op plekken komen waar hij ze niet wil hebben.
Dat was een eye-opener, vertelt hij in zijn kantoor. „Als je het vliegtuig pakt denk je vooraf na over de hoeveelheid tussenstops en of je wel in die landen wil komen. Bij internetverkeer doen we dat niet. We vinden het gewoon fantastisch dat het werkt. Tsja. Tot je je vrienden niet meer vertrouwt.” Hij vermoedt dat hij niet de enige softwarebouwer is die nog niet eerder bewust stilstond bij de routes.
De ontdekkingsreis ging zo: voor klanten monitort MindYourPass geanonimiseerd op welke applicaties hun medewerkers inloggen. „Dat meten we real-time”, vertelt De Jonge. Zo maakt zijn bedrijf inzichtelijk welke applicaties veel gebruikt worden en ook waar mogelijke veiligheidsrisico’s zitten, zoals door het hergebruiken van wachtwoorden.
Tegenwoordig willen klanten, waaronder veel lokale overheden, meer inzicht in hun dataverkeer. Ze willen weten hoe „digitaal soeverein” ze zijn. „Daarvoor wilde ik ze kunnen laten zien waar de datacenters staan van de applicaties waarop ze inloggen.”
Dat bleek moeilijker dan gedacht. Want wat MindYourPass kon verifiëren – onder meer met gebruik van de online dienst ipinfo.io, die IP-adressen aan fysieke locaties koppelt – klopte niet met het officiële verhaal. Het internetspoor van applicaties waarvan de eigenaren zeggen dat ze op servers in Europa draaien, leidt in veel gevallen alsnog naar de Verenigde Staten. „Dat verbaasde me, want ik denk niet dat al die leveranciers liegen over hun datacenters.”
De Jonge besloot het ook voor zijn eigen bedrijf te controleren. „Ik had verwacht dat ik in Groningen, en anders in Nederland of in ieder geval Europa uit zou komen.” Tot zijn verbazing leidde het IP-adres voor MindYourPass naar de VS. En dus niet naar de Eemshaven, wat in zijn contract met Google staat.
En dat vindt hij vervelend. „Als ik zeg dat onze data in Europa staan, moeten mijn klanten dat kunnen verifiëren. Als het IP-adres vervolgens in Amerika uitkomt is dat niet goed voor het vertrouwen.”
Hij tekent het whiteboard van een vergaderzaal op de campus in Eindhoven vol om uit te leggen wat hij daarbij leerde, en met welke vragen hij is blijven zitten.
Deze kaart toont waar zakelijke applicaties van een aantal Nederlandse gemeenten worden gehost: rood in Nederland; wit in het buitenland.
MindYourPass monitorde in 2025 voor twintig Nederlandse gemeenten welke applicaties hun medewerkers allemaal gebruikten. Om het dataverkeer van de gemeenten inzichtelijk te maken koppelden ze de applicaties aan fysieke locaties (GPX). Daar zijn betrouwbare diensten voor, zoals ipinfo.io. Die laten zien waar de server staat. Dat projecteerden ze op een kaart. Uit de metingen bleek onder meer dat 59,2 procent van de webapplicaties die bij de gemeenten worden gebruikt in een Amerikaanse cloud staat.
Om het te begrijpen is wat les nodig over de werking van het internet. Als een webapplicatie – of dat nu een website is of een programma op je smartphone – data nodig heeft, moet die verbinding maken met een server. Die server heeft een webadres, een url – zoals www.nrc.nl. En die url is gekoppeld aan een uniek IP-adres, dat je zou kunnen vergelijken met een telefoonnummer. In het wereldwijde internettelefoonboek zit een ordening. Een protocol dat ervoor zorgt dat data efficiënt van de verzender naar de ontvanger gaan en andersom.
Die ordening doet denken aan netnummers van steden of aan postcodes. Je ziet aan de +31 dat een telefoonnummer in Nederland is en aan bijvoorbeeld 010 dat het vervolgens richting Rotterdam moet, dat vervolgens weer in kleinere gebiedjes is verdeeld. Aan een IP-adres kun je zien binnen welk netwerk de server staat die bij de applicatie of website hoort die je gebruikt.
Die ordening maakt het tot op zekere hoogte mogelijk om te beredeneren hoe data reizen. Dat is bovendien te controleren door te ‘pingen’, een techniek om te zien hoelang de reis duurde, wat informatie geeft over de afgelegde afstand.
Maar voor veel data werkt dat tegenwoordig een beetje anders. Heel veel dataopslag en internetverkeer gaat namelijk via een aantal heel grote bedrijven, die verspreid over de hele wereld datacenters hebben. En die eigenaar zijn van heel dikke glasvezelkabels tussen die datacenters. En die bedrijven – de bekendste zijn Amazon, Microsoft en Google – beheren heel grote delen van het internettelefoonboek. Ze hebben een soort eigen wereld binnen het wereldwijde internet.
Het liefst hebben ze de data van hun klanten zo snel mogelijk binnen hun eigen wereld, waar de dikste kabels lopen en ze kunnen controleren op virussen. Eenmaal binnen transporteren ze de data vervolgens intern verder.
Om ervoor te zorgen dat het dataverkeer zo snel mogelijk een afslag naar een van hun eigen datacentra neemt, gebruiken ze een techniek genaamd anycast. Maar dit van oudsher veelgebruikte middel blijkt ook een sleutelrol te spelen bij het verdoezelen van de herkomst van data. Door anycast lijkt de ‘voordeur’ van een Google-datacenter in Australië of Latijns-Amerika hetzelfde als dat in de Eemshaven.
Meestal zullen data de snelste en dus meest directe weg nemen, legt De Jonge al tekenend uit. Maar dat weet je niet zeker. Software om data te volgen, zoals ‘traceroute’, werkt gebrekkig en wordt door veel routers geblokkeerd. En als data op het interne netwerk van de grote cloudaanbieders reizen, dus bijvoorbeeld van Microsoft-datacenter naar Microsoft-datacenter, kunnen buitenstaanders helemaal niet meer meekijken.
Daardoor zouden de data ook via andere dan de meest logische routes in hun wereldwijde stelsel van datacentra kunnen lopen, zonder dat hun klanten dat in de gaten hebben. De Jonge: „Google kan dus ook Europees verkeer omleiden via Amerika zonder dat iemand het merkt.” Bijvoorbeeld als Amerikaanse autoriteiten opdracht hebben gegeven dat te doen.
Klanten van Merijn de Jonge willen digitaal soeverein zijn, en dus probeert hij het dataverkeer te achterhalen.
Dat besef is relevant in het licht van de opgelaaide discussie over digitale soevereiniteit. „We hebben het voortdurend over dataopslag. En over dataverwerking. Maar we zouden het dus ook over datatransport moeten hebben”, vindt De Jonge. „Als je niet kunt garanderen hoe je data lopen, kun je ook niet garanderen dat ze ‘soeverein’ zijn. Privacy heeft zowel een juridische als een technische kant.”
Hij wijst er bovendien op dat de versleuteling van het berichtenverkeer ‘bij de voordeur eindigt’. Een cloudbedrijf ontsleutelt even, om bijvoorbeeld te voorkomen dat er met versleutelde berichten virussen mee naar binnen gaan. Daarna wordt het in principe gelijk weer versleuteld, „maar weet je dat zeker? Het is ook hét moment om er een koptelefoon bij te pakken en af te luisteren.”
Het is een complex thema. Want dat Google het dataverkeer van MindYourPass via de Verenigde Staten kán laten lopen, wil niet zeggen dat dit ook gebeurt. Een woordvoerder van het bedrijf zegt stellig dat het dat niet doet en benadrukt dat data ook binnen het Google-universum versleuteld reizen. Hetzelfde geldt desgevraagd voor Microsoft.
Maar dat wil niet zeggen dat wat De Jonge constateert niet klopt. Het blijkt namelijk vrijwel onmogelijk om als klant zeker te weten hoe je data reizen. Datapakketjes zijn geen vogels of vissen waar je een zendertje aan hangt om hun migratiepatronen in kaart te brengen.
Controleren wat De Jonge zegt over de werking van anycast leidt tot complexe gesprekken en verwarring. Dat komt onder meer doordat ‘anycast’ op heel veel plekken wordt gebruikt, zowel op het ‘publieke internet’ als op interne netwerken achter de ‘voordeur’, dus tussen de verschillende datacenters van een bedrijf. „Ja maar, zo wérkt het internet gewoon”, zegt een deskundige in de pauze van een technisch congres bijvoorbeeld, enigszins verbijsterd over de vraag van een journalist over de mogelijke consequenties van het gebruik van het heel reguliere protocol. Toch is het relevant. Want wie bepaalt de instellingen achter de voordeur en zijn die van buitenaf te controleren?
Google en Microsoft schieten bij vragen daarover in de verdediging: iedereen gebruikt anycast. Het is een heel gebruikelijke techniek om dataverkeer te optimaliseren. En die wordt door ons niet gebruikt voor routes buiten de EU voor klanten die dat niet willen, zeggen woordvoerders van beide bedrijven stellig. Het gesprek wordt lastiger als het gaat over de vraag of dat niettemin zou kunnen, zonder dat hun klanten dat kunnen controleren.
Dit soort vragen zijn ook door de Europese privacywaakhond, de European Data Protection Supervisor (EDPS), aan de grote cloudproviders gesteld. De EDPS heeft met name met Microsoft veel contact gehad over dataroutes en de verschillen tussen privacywetgeving in de VS en de EU. De EDPS oordeelde in 2024 dat de Europese Commissie de Europese privacywet overtrad door Microsoft 365 te gebruiken. Na aanvullende maatregelen en afspraken met Microsoft concludeerde de EDPS ruim een jaar later dat de Commissie niet meer in overtreding was. Er zijn geen specifieke EDPS-rapporten over anycast.
Microsoft gaat uitvoeriger in op de technische vragen dan Google. De woordvoerder van Microsoft wijst op tooltjes die De Jonge ook heeft gebruikt. Zoals ‘ipinfo’, het gebruik van ‘traceroute’ en pingen om te meten hoe snel een signaal van een server terugkomt. Als dat trager is dan te verwachten zou zijn, valt bijvoorbeeld af te leiden dat er via een langere route gereisd is. Maar het gebruik van dat soort tools en het pingen zijn momentopnamen, steekproeven en controles achteraf. Geen garanties. Wel zijn er contractuele afspraken, wijst ze.
Heb je daarmee zekerheid als gebruiker? Anycast is gemaakt om het internetverkeer te optimaliseren, zegt Peter van Burgel. Daardoor zijn omwegen niet zo waarschijnlijk. Van Burgel is directeur van de Amsterdam Internet Exchange, AMS-IX. Dat bedrijf is er voor een groot deel voor verantwoordelijk dat het internet in Nederland goed en snel is. Veel dichter op hoe internetverkeer fysiek werkt kun je niet zitten dan daar.
Maar het hele internet en anycast werken niet zonder door mensen gekozen instellingen, benadrukt Van Burgel ook. Bij anycast-configuraties geldt bijvoorbeeld dat de cloudproviders waarvan de IP-adressen zijn in kunnen stellen dat data de snelste route moeten nemen, maar niet via Rusland en China mogen gaan. „En er kunnen ook fouten worden gemaakt in de configuratie”, zegt Van Burgel. „Of je kunt bewust wijzigingen aanbrengen en handmatig aanpassen.” Bijvoorbeeld als je data wil stelen of aftappen. Dan kun je met anycast net doen alsof een omweg via jouw server de kortste weg is en komen de data vanzelf naar je toe.
In de regel valt het op als data omgeleid worden. Van Burgel: „Mensen die er verstand van hebben, zoals in mijn team, zien dat. Die zitten daar de hele dag naar te kijken. Maar ze kijken niet binnen bij een bedrijf dat zo groot is dat het als het ware eigen netnummers heeft. Dat is moeilijker te zien.”
De meeste bedrijven staan daar niet bij stil, zegt Van Burgel. Daarvoor is internet iets ‘waar je een stekker insteekt en dat dan werkt’. Maar voor instanties of bedrijven die met gevoelige informatie werken zou hij het verstandig vinden als ze wél stilstaan bij de routes die hun data nemen, om de kans op aftappen te verkleinen.
Dat is hetzelfde punt als De Jonge maakt. Die zegt: „Als leverancier zou ik mijn klanten willen kunnen laten zien hoe hun verkeer gerouterd wordt.” Over zijn eigen bedrijf maakt hij zich niet direct zorgen. De gegevens die MindYourPass bewaart, zijn niet privacygevoelig. Voor een deel van zijn klanten, zoals lokale overheden, ligt dat mogelijk anders. „Elke gemeente moet er toch over nadenken wat er kan gebeuren.”
Klanten van grote cloudbedrijven kunnen er ook voor kiezen alle data van begin tot einde versleuteld te versturen, maar dat heeft praktische nadelen. Bedrijven zoals Microsoft en Google bieden bovendien de mogelijkheid om hun ‘interne snelwegen’ niet te gebruiken of alleen in een bepaald gedeelte van de wereld. De Jonge zou zijn instellingen bijvoorbeeld op ‘regionaal’ kunnen laten zetten. Mogelijk met soms een wat tragere reactie van de server tot gevolg.
Voor leveranciers die alleen de Nederlandse markt bedienen of lokale overheden is dat ook een logische optie, denkt De Jonge. Van Burgel van AMS-IX vindt dat ook geen rare gedachte. Binnen de Nederlandse Vereniging van Gemeenten (VNG) is eind november 2025 per stemming unaniem bepaald dat digitale autonomie prioriteit moet krijgen. „Samen met andere overheden voert de VNG daarom gesprekken met de grote (niet-Europese) leveranciers over onderwerpen als soevereiniteit, dataopslag en overdraagbaarheid van onze data”, zegt een woordvoerder.
De Jonge kijkt intussen naar Europese alternatieven voor de Google-diensten. Die zijn er wel, maar kunnen die net zo snel extra capaciteit leveren als de Amerikanen, als dat nodig is? En heeft het gevolgen voor de internationale ambities die hij heeft? „Het zijn uitdagende vraagstukken. Aan de ene kant willen we alles zo veilig mogelijk maken en aan de andere kant kunnen we ons geld maar één keer uitgegeven. En omdat we geen gevoelige data bewaren, is de noodzaak om hieraan iets te verbeteren voor ons wellicht minder groot dan voor andere bedrijven.”
In zijn favoriete scenario komt het weer snel goed tussen Europa en de Verenigde Staten. Dan zijn complexe keuzes over de IT van zijn bedrijf mogelijk niet nodig. „Hopelijk beseffen we in Europa én Amerika dat het verstandiger is vrienden te blijven.”
Merijn de Jonge van scale-up MindYourPass.