EU-hosting voor AI: wat niemand je vertelt

Tien minuten op een SaaS-website is genoeg: iedereen claimt 'EU hosted'. Soms 'EU data residency'. Een enkeling 'EU sovereignty'. Het ziet eruit als hetzelfde, het is het allerminst. En voor AI-toepassingen, waar je werkt met LLMs die in de VS getraind zijn op data uit de hele wereld, is het verschil tussen die termen het verschil tussen GDPR-compliant en een potentieel datalek.

De drie niveaus, in oplopende volgorde van strikt

Niveau 1: EU servers

De zwakste claim. Betekent: de fysieke machine staat in een EU-datacenter. Maar het zegt niets over waar de data tussentijds vandaan komt of naartoe gaat. De load-balancer kan in de VS staan, de logs kunnen naar Australië gaan, de backups kunnen in Singapore liggen. 'EU servers' is een postcode, geen garantie.

Niveau 2: EU data residency

Strikter. Betekent: alle persistente data (database, file storage, backups) blijft binnen de EU-grenzen. Maar 'persistent' is de truc: tijdelijke verwerking, een API call, een log line, een queue-message, kan nog steeds een EU-grens oversteken. Voor LLM-AI is dat een groot lek, want elke gebruikersinteractie gaat door een model dat ergens draait.

Niveau 3: EU-only processing

De juiste benchmark. Betekent: data verlaat tijdens GEEN ENKELE fase, niet opslag, niet verwerking, niet tijdelijke caching, de EU. Inclusief de inference-call naar het taalmodel. Dit vereist dat je LLM-provider óók een EU-endpoint heeft, en dat je expliciet die endpoint gebruikt.

Waar het mis gaat bij AI-tools

De meeste AI-helpdesk-tools claimen 'EU data residency' maar gebruiken een Amerikaanse LLM-API zonder EU-routering. Dat betekent dat elke gebruikersvraag, inclusief alle context (klantnaam, ordernummer, eventueel betalingsgegevens), via servers buiten de EU loopt voordat hij beantwoord wordt. De vraag zelf wordt niet 'opgeslagen' in de strikte zin, maar wel verwerkt. En verwerking valt onder GDPR.

Wat de wet zegt

GDPR Art. 44-46 verbiedt doorgifte van persoonsgegevens naar landen buiten de EU/EER zonder geldige juridische basis. De geldige basissen zijn beperkt en aan voorwaarden verbonden: een adequaatheidsbesluit (zoals het EU-US Data Privacy Framework, dat juridisch onder druk staat), Standaardcontractbepalingen (SCC's, vereisen aanvullende risico-analyse), of bindende bedrijfsregels (BCRs).

Voor AI-customer-support is de praktische conclusie: als je vendor data laat verwerken in de VS, baseer dan altijd op het EU-US DPF, én weet dat als die wegvalt, je binnen 90 dagen een alternatief moet hebben. Veel CIO's en DPO's eisen daarom 'EU-only processing' zonder doorgifte als baseline.

Welk niveau heb jij nodig?

• B2C webshop met algemene support-vragen → Niveau 2 is in de praktijk acceptabel.
• B2B met enterprise-klanten waar procurement een DPA eist → Niveau 3.
• Zorg, finance, publieke sector, hoger onderwijs → Niveau 3 is feitelijk verplicht.
• Bedrijven met DPF-allergie (vaak Duitse klanten, vaak juridische teams) → Niveau 3 + Europese LLM-provider (Mistral, Aleph Alpha).

Hoe Conveya dit oplost

Onze database, queue, file-storage en API-servers draaien in EU-Central (Amsterdam). Onze standaard LLM-route loopt via OpenAI; merchants die strikte EU-only processing eisen kunnen via CHAT_PROVIDER routeren naar een Europese provider (Mistral Large is de meest beproefde EU-route). Bij elke merchant-onboarding documenteren we welke route gebruikt wordt en welke sub-processors er actief zijn, zie /privacy voor de actuele sub-processor lijst.