AWS hosting binnen de EU.

Waarom de locatie van je hosting ertoe doet

Als ondernemer denk je bij hosting waarschijnlijk niet direct aan datacenterlocaties. Toch is het een van de belangrijkste keuzes die je maakt. Waar je data fysiek staat, bepaalt welke wetgeving van toepassing is, hoe snel je applicatie reageert en hoe goed je klantdata beschermd is.

Veel cloudproviders draaien standaard op Amerikaanse servers. Dat klinkt onschuldig, maar het heeft consequenties. De Amerikaanse overheid kan via wetgeving zoals de CLOUD Act toegang eisen tot data die op Amerikaanse bodem staat — of bij Amerikaanse bedrijven in beheer is. Voor Europese bedrijven die met persoonsgegevens werken, is dat een risico dat je bewust moet adresseren.

De vraag is niet of de cloud veilig is. De vraag is: waar in de cloud staat jouw data en welke wetgeving is van toepassing?

Onze keuze: Frankfurt en Ireland

Bij Coding Agency draaien alle klantapplicaties op AWS-regio's binnen de Europese Unie. Concreet gebruiken we twee regio's:

• eu-central-1 (Frankfurt, Duitsland) — Onze primaire regio voor de meeste projecten. Centraal in Europa, uitstekende latency naar Nederland en omringende landen, en onderworpen aan de strenge Duitse dataprivacywetgeving.
• eu-west-1 (Ireland) — Onze secundaire regio, met name voor projecten die CloudFront-edge locations in West-Europa benutten of waar we geografische redundantie willen.

Deze keuze is niet toevallig. Frankfurt en Ireland zijn de twee meest volwassen AWS-regio's in Europa, met het breedste aanbod aan services. Vrijwel elke AWS-service die we gebruiken — Lambda, RDS, S3, SQS, ElastiCache, CloudFront — is beschikbaar in beide regio's.

AVG-compliance begint bij je infrastructuur

De Algemene Verordening Gegevensbescherming (AVG/GDPR) stelt dat persoonsgegevens van EU-burgers binnen de EU verwerkt moeten worden, tenzij het ontvangende land een adequaatheidsbesluit heeft. Door onze infrastructuur in Frankfurt en Ireland te draaien, voldoen we aan deze eis zonder uitzonderingen of complexe juridische constructies.

Dit betekent concreet:

• Database-servers draaien in Frankfurt — je klantdata, gebruikersgegevens en transacties verlaten de EU niet.
• Bestandsopslag (S3) is geconfigureerd op EU-buckets — uploads, documenten en exports blijven binnen Europa.
• Backups worden opgeslagen in dezelfde EU-regio — geen automatische replicatie naar US-regio's.
• Queue-verwerking (SQS) draait lokaal — achtergrondtaken die persoonsgegevens verwerken blijven in de EU.
• Caching (ElastiCache/Redis) staat in dezelfde regio als je applicatie — sessiedata en gecachte queries gaan nergens heen.

AVG-compliance is geen checkbox. Het is een architectuurbeslissing die je vanaf dag één moet maken — niet achteraf erbij plakken.

Performance: dichter bij je gebruikers

Naast compliance is er een puur technisch argument: latency. Het datacenter in Frankfurt ligt op minder dan 500 kilometer van Nederland. Een request van een gebruiker in Amsterdam naar Frankfurt en terug duurt typisch 10-15 milliseconden. Naar US-East (Virginia) zou dat 80-100ms zijn.

Dat lijkt misschien weinig, maar het telt op. Een paginalading bestaat uit tientallen requests: de HTML, API-calls, database-queries, assets. Het verschil tussen een applicatie die in Frankfurt draait en een die in de VS draait, voel je als gebruiker. Sneller is altijd beter — voor gebruikerstevredenheid én voor conversie.

CloudFront edge locations

Voor statische assets (CSS, JavaScript, afbeeldingen) gebruiken we AWS CloudFront, het CDN van Amazon. CloudFront heeft edge locations in Amsterdam, Frankfurt, Parijs, Londen en tientallen andere Europese steden. Je gebruikers laden assets vanuit het dichtstbijzijnde punt — vaak binnen Nederland zelf.

Availability zones en redundantie

Elke AWS-regio bestaat uit meerdere Availability Zones (AZ's): fysiek gescheiden datacenters binnen dezelfde regio, verbonden via een razendsnel privénetwerk. Frankfurt heeft drie AZ's, Ireland ook drie.

Wij bieden de mogelijkheid om applicaties over meerdere AZ's te configureren. Dit is geen standaard bij elk project — het hangt af van je beschikbaarheidseisen en budget — maar voor bedrijfskritische applicaties is het een krachtige optie:

• Een heel datacenter kan uitvallen zonder dat je applicatie offline gaat
• Database-failover naar een andere AZ gebeurt automatisch
• Lambda-functies draaien standaard verspreid over alle AZ's
• Load balancing verdeelt verkeer automatisch over gezonde zones

Dit niveau van redundantie is met traditionele hosting in een Nederlands datacenter vrijwel onmogelijk te bereiken — of het kost een veelvoud. Wij adviseren je graag over of multi-AZ voor jouw situatie zinvol is.

Waarom niet gewoon een Nederlands datacenter?

Een logische vraag: als je data in de EU moet staan, waarom dan niet gewoon bij een Nederlandse hostingpartij? Er zijn goede redenen om voor AWS te kiezen boven een lokale provider:

Schaalbaarheid. Nederlandse datacenters bieden prima VPS-hosting, maar schalen niet automatisch. Bij een verkeersspiek moet je handmatig opschalen of hopen dat je server het aankan. AWS Lambda schaalt van nul naar duizenden gelijktijdige verzoeken zonder tussenkomst.

Managed services. AWS biedt managed databases (RDS), managed caching (ElastiCache), managed queues (SQS) en tientallen andere services die je niet zelf hoeft te beheren. Bij een traditionele hoster beheer je alles zelf of betaal je extra voor elk onderdeel.

Betrouwbaarheid. AWS draait op een schaal die geen enkele Nederlandse hoster kan evenaren. De uptime-garanties, de multi-AZ redundantie, de automatische failover — het is een ander niveau van infrastructuur.

Ecosysteem. Als je applicatie groeit, groei je mee. Nodig je morgen een zoekservice? Amazon OpenSearch. Machine learning? SageMaker. Realtime data? Kinesis. Het ecosysteem is er al, in dezelfde regio, met dezelfde credentials.

Een Nederlands datacenter is prima voor een website. Voor een bedrijfskritische applicatie die moet schalen, is AWS in Frankfurt de betere keuze.

De CLOUD Act: wat je moet weten

AWS is een Amerikaans bedrijf. Dat roept de vraag op: kan de Amerikaanse overheid dan toch bij mijn data? Het antwoord is genuanceerd.

De CLOUD Act geeft de Amerikaanse overheid de mogelijkheid om data op te vragen bij Amerikaanse bedrijven, ongeacht waar die data fysiek staat. Maar er zijn belangrijke nuances:

• AWS betwist verzoeken die in strijd zijn met EU-wetgeving — dat is vastgelegd in hun Data Processing Addendum
• Verzoeken moeten via een rechtmatige procedure lopen (gerechtelijk bevel)
• AWS publiceert transparantierapporten over overheidsverzoeken
• Encryptie van data-at-rest en data-in-transit voegt een extra beschermingslaag toe

In de praktijk is het risico voor een gemiddeld Nederlands bedrijf verwaarloosbaar. Maar het is belangrijk om het te kennen en bewust te adresseren. Wij configureren standaard encryptie op alle opslaglagen en zorgen dat je verwerkersovereenkomst met AWS de EU-standaardcontractbepalingen bevat.

Wat wij concreet configureren

Bij elk project zorgen we ervoor dat de AWS-configuratie klopt voor EU-hosting:

• Regio-lock — Alle resources worden aangemaakt in eu-central-1 of eu-west-1. Er is geen automatische replicatie naar niet-EU-regio's.
• S3 bucket policies — Buckets zijn geconfigureerd om alleen binnen de gekozen EU-regio te bestaan.
• RDS met optionele Multi-AZ — Databases kunnen worden geconfigureerd met automatische failover over meerdere AZ's, altijd binnen dezelfde EU-regio.
• Encryptie standaard aan — AES-256 encryptie voor data-at-rest op S3, RDS en ElastiCache. TLS 1.3 voor data-in-transit.
• CloudFront geo-restrictie — Indien gewenst beperken we CDN-distributie tot Europese edge locations.
• IAM en access control — Toegang tot resources is gebaseerd op least-privilege principes.

Frankfurt als primaire keuze

Van de twee EU-regio's die we gebruiken, is Frankfurt onze standaard. De reden is drieledig:

Nabijheid. Frankfurt is het dichtstbij voor Nederlandse gebruikers. De latency is minimaal en de netwerkroute is direct via de AMS-IX en DE-CIX, twee van de grootste internet exchanges ter wereld.

Duitse privacywetgeving. Duitsland heeft een van de strengste privacywetgevingen in de EU, met het Bundesdatenschutzgesetz (BDSG) bovenop de AVG. Data in Frankfurt profiteert van deze extra beschermingslaag.

Service-aanbod. Frankfurt is de meest complete AWS-regio in continentaal Europa. Nieuwe AWS-services worden hier vaak als eerste gelanceerd na de US-regio's.

Wanneer we Ireland gebruiken

Ireland (eu-west-1) zetten we in voor specifieke scenario's:

• Hogere concurrency-limieten — Ireland is een van de oudste en grootste AWS-regio's in Europa. Voor applicaties die hoge gelijktijdigheid nodig hebben (bijvoorbeeld veel Lambda-functies tegelijk), biedt Ireland ruimere limieten dan Frankfurt.
• Projecten die ook gebruikers in het Verenigd Koninkrijk bedienen — Ireland biedt lagere latency naar de UK
• Services die (nog) niet beschikbaar zijn in Frankfurt — zeldzaam, maar het komt voor bij nieuwere AWS-services
• Geografische redundantie voor disaster recovery — een backup-regio op een andere fysieke locatie
• Projecten met een internationaler publiek in West-Europa

Conclusie

Hosting is geen commodity. De keuze voor een datacenterlocatie heeft directe gevolgen voor privacy, compliance, performance en betrouwbaarheid. Door bewust te kiezen voor AWS-regio's in Frankfurt en Ireland combineren we het beste van twee werelden: de schaalbaarheid en het ecosysteem van AWS, met de privacybescherming en nabijheid van Europese datacenters.

Voor onze klanten betekent dit: je data staat in Europa, je applicatie is snel voor je gebruikers, je voldoet aan de AVG en je hebt toegang tot een infrastructuur die meegroeit met je ambities. Zonder dat je je zorgen hoeft te maken over waar je data naartoe gaat.