EU-datasoevereiniteit
Soeverein ontworpen.
Gehost in Nederland. Aangedreven door Mistral en lokale modellen. Buiten het bereik van de Amerikaanse CLOUD Act en elke buitenlandse autoriteit, want compliance alleen was nooit genoeg.
Gehost in de EU, en alleen de EU
Onze infrastructuur blijft binnen de Unie, bij Europese aanbieders. Geen Amerikaanse clouds betekent geen Amerikaans bedrijf in de keten, en geen buitenlandse autoriteit waaraan het zich moet verantwoorden.
Een EU-only modelstack
Wij bouwen op Mistral en lokale, open-weight modellen. Uw data gaat nooit naar Amerikaanse AI-aanbieders en wordt nooit gebruikt om andermans model te trainen.
Buiten bereik van buitenlandse autoriteiten
Omdat er geen Amerikaans bedrijf tussen u en uw data staat, is er geen CLOUD Act-bevel of FISA-verzoek dat afgifte kan afdwingen. Uw data verantwoordt zich aan u, en uitsluitend aan de Europese wet.
Compliance, en meer dan dat
GDPR, NIS2 en de EU AI Act zijn ingebouwd. Maar compliance is slechts de ondergrens: een Amerikaanse aanbieder kan gebonden zijn aan de GDPR en tóch onder Amerikaanse wetgeving worden gedwongen. Wij nemen dat conflict bij de wortel weg.
Waarom het telt
Compliance is de ondergrens, niet het plafond.
Waar uw data staat, is niet hetzelfde als wie erbij kan. Data in een Europees datacentrum is niet werkelijk Europees als een Amerikaans bedrijf het beheert: onder de Amerikaanse CLOUD Act kan een in de VS gevestigde aanbieder worden gedwongen data af te geven, waar ter wereld die ook staat, en FISA 702 staat surveillance toe zonder kennisgeving en zonder reële mogelijkheid tot bezwaar. De “sovereign cloud”-labels van Amerikaanse aanbieders veranderen die verplichtingen niet.
Daarom is compliance alleen geen bescherming. Een Amerikaanse aanbieder die Europese klanten bedient, is gebonden aan de GDPR en tegelijk te dwingen onder Amerikaanse wetgeving, een conflict dat hij niet contractueel kan wegnemen. De grootste aanbieders hebben onder ede erkend dat zij niet kunnen garanderen dat Europese data nooit aan Amerikaanse autoriteiten wordt overgedragen.
Wij nemen die blootstelling bij de bron weg. Doordat infrastructuur, modellen en data uitsluitend bij Europese partijen blijven, zit er geen buitenlands bedrijf in de keten en is er geen buitenlandse wet die erbij kan. Dát is wat “soeverein van ontwerp” betekent, geen belofte die achteraf is toegevoegd, maar een eigenschap van hoe het systeem is gebouwd.
De CLOUD Act, precies
Waarom een Amerikaanse aanbieder altijd gedwongen kan worden, waar uw data ook staat.
Dit is geen doemscenario en geen marketingpraat. Zo is de Amerikaanse wet geschreven. Dit is wat er precies staat, en waarom een contract het niet kan uitschakelen.
Het is Amerikaanse wet, en expliciet over locatie.
De CLOUD Act (2018) voegde 18 U.S.C. § 2713 toe aan de Stored Communications Act. Die verplicht een aanbieder data af te geven die in zijn “possession, custody, or control” is, en, in de woorden van de wet zelf, “regardless of whether” die data “is located within or outside of the United States”. Waar de server staat, is per definitie irrelevant.
Het volgt het bedrijf, niet het gebouw.
De plicht bindt elke aanbieder die onder Amerikaanse jurisdictie valt: bedrijven gevestigd in de VS, én buitenlandse bedrijven met wezenlijke Amerikaanse activiteiten (“minimum contacts”). Een Europees datacentrum beheerd door zo’n bedrijf valt nog steeds binnen bereik.
“Control” betekent erbij kunnen, niet het vasthouden.
Amerikaanse rechters lezen “possession, custody, or control” ruim: het volstaat dat een bedrijf de praktische mogelijkheid of het juridische recht heeft de data te verkrijgen. Een Amerikaans moederbedrijf dat zijn Europese dochter kan opdragen data af te geven, wordt geacht die te beheersen, ook als de data Europa fysiek nooit verlaat.
Een contract kan een wet niet opzijzetten.
Dataresidentie-clausules, standaardcontractbepalingen, “EU data boundary”- en “sovereign cloud”-programma’s zijn privéafspraken. Ze beperken wie er dagelijks bij de data kan; ze nemen niet de wettelijke plicht weg om een geldig Amerikaans bevel op te volgen. De Europese toezichthouders zelf (EDPB en EDPS) oordeelden dat zulke contracten geen kracht hebben tegen Amerikaanse gerechtelijke of bestuurlijke bevelen.
Voor Europese data is er geen nooduitgang.
Een aanbieder kan een bevel bij een Amerikaanse rechter alleen aanvechten als het de wet zou schenden van een land dat een CLOUD Act-“executive agreement” met de VS heeft. De EU heeft die niet. Een Europese klant krijgt dus noch die bescherming, noch enig bericht, en de aanbieder moet kiezen tussen een Amerikaans bevel en de GDPR.
Surveillancewetgeving reikt nog verder.
Los van opsporing laten FISA Section 702 en Executive Order 12333 Amerikaanse inlichtingendiensten data opvragen bij Amerikaanse aanbieders, doorgaans met een zwijgplicht en zonder bericht aan de klant. Juist die bevoegdheden brachten het Europees Hof ertoe het Privacy Shield in Schrems II ongeldig te verklaren.
“Nee, dat kan ik niet garanderen.”
De juridische macht om uw data af te dwingen bestaat, geldt waar de data ook staat, en is niet weg te contracteren. Die verdwijnt pas als er nergens in de keten een bedrijf onder Amerikaanse jurisdictie zit, en precies zo is Vivaldi gebouwd.
Een aanbieder onder Amerikaanse jurisdictie, en Vivaldi.
| Aanbieder onder Amerikaanse jurisdictie | Vivaldi | |
|---|---|---|
| Wie uw data kan opeisen | Amerikaanse autoriteiten (CLOUD Act, FISA 702, EO 12333) | Alleen een Europese rechter, onder Europese wet |
| Helpt een EU-datacentrum | Nee, de plicht volgt het bedrijf, niet de server | Ja, en geen Amerikaans bedrijf in de keten |
| Kan een contract het tegenhouden | Nee, een wet gaat boven privéafspraken | Niets te overrulen, geen buitenlandse wet van toepassing |
| Wordt u geïnformeerd | Vaak niet, bevelen kunnen een zwijgplicht bevatten | Ja, toegang alleen via een zichtbaar proces |
| Welk recht geldt voor uw data | Amerikaans én Europees recht, in conflict | Uitsluitend Europees recht (GDPR, NIS2, EU AI Act) |
Vragen, beantwoord
De vragen die kopers echt stellen.
Zijn Europese en open modellen echt zo goed als OpenAI of Anthropic?
Voor het werk dat deze producten doen, ja. De modellen van Mistral zijn competitief voor retrieval, extractie, classificatie en redeneren over uw eigen data, en omdat elk antwoord gegrond is in uw bronnen, komt nauwkeurigheid net zozeer uit de retrieval en de guardrails als uit het ruwe model. Waar een taak echt een ander model vraagt, is de stack modelonafhankelijk, binnen de EU.
Waar draait onze data precies?
Op de sovereign cloud van Vivaldi in Nederland en Duitsland, of volledig binnen uw eigen infrastructuur. In de on-premise-optie is de enige externe afhankelijkheid uw eigen Mistral-account, of een volledig lokaal model. Niets wordt buiten de EU verwerkt.
Wordt onze data gebruikt om modellen te trainen?
Nee. Uw data wordt nooit gebruikt om onze modellen of die van anderen te trainen, en wordt nooit naar een Amerikaanse aanbieder gestuurd.
Hoe snel zijn we live?
Een afgebakende pilot duurt doorgaans weken, geen maanden, omdat we koppelen aan uw bestaande bronnen in plaats van een migratie te vragen. We beginnen met één gerichte use case en breiden van daaruit uit.
Wat als we willen stoppen?
Dat kan. We bouwen op open-weight modellen en uw eigen systemen, dus er is geen lock-in op propriëtaire modellen of een Amerikaans platform. Uw data en uw bronnen blijven steeds van u.
Hoe past dit bij GDPR, NIS2 en de EU AI Act?
Compliance is ingebouwd: EU-hosting, EU-modellen, volledige dataresidentie, auditbaarheid en documentatie afgestemd op de raamwerken. Ons consultancyteam werkt elke dag aan deze standaarden.
Soevereiniteit die u kunt verifiëren.
We laten u precies zien waar uw data staat, wie er wel en niet bij kan, en welke modellen draaien.