1. [Home](/) /
2. [Blog](/blogs) /
3. Europese hosting zonder lock-in — wij doen het anders
 
  Compliance · Privacy · 19 Jun 2026 

# Europese hosting zonder lock-in — wij doen het anders

Bij VDMi hosten wij uitsluitend op Europese infrastructuur, op open source software, zonder vendor lock-in. Uw data blijft van u, staat in Europa en is altijd volledig exporteerbaar. Als u morgen wilt overstappen, helpen wij u daarmee. Dat is geen verkooppraatje — het is een bewuste keuze die wij elke dag opnieuw maken.

 

 ### Onze positie in het kort

Veel overheidsorganisaties en bedrijven hosten hun digitale platform bij grote US-cloudproviders. Begrijpelijk — groot bereik, lage instapkosten, bekende namen. Maar de juridische realiteit is problematisch: de [CLOUD Act](https://www.justice.gov/d9/2023-01/cloud_act_faqs.pdf) verplicht American providers om data aan de US-overheid te overhandigen, ook als die data in een Europees datacenter staat. De [AVG](https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX%3A32016R0679) verbiedt dit in beginsel. Resultaat: een structureel compliance-risico.

VDMi heeft een andere keuze gemaakt. Wij bouwen en hosten op **open source software**, op servers die uitsluitend onder **Europees recht** vallen, met een architectuur die **vendor lock-in structureel uitsluit**. Geen afhankelijkheid van één leverancier. Geen verborgen exit-kosten. Uw platform, uw data — altijd.

- 100% Europese hosting — servers in Nederland en Duitsland
- Open source stack: [Drupal](/waarom-drupal "Waarom Drupal?"), Linux, MariaDB — geen proprietary licenties
- Volledige data-portabiliteit: exporteerbaar op elk moment
- AVG en [NIS2/Wbni](https://wetten.overheid.nl/BWBR0050459/) compliant by design



 

 

 

 

 





 ## Waarom US-cloud en vendor lock-in een probleem zijn

 

De [CLOUD Act (2018)](https://www.congress.gov/bill/115th-congress/senate-bill/2383) verplicht Amerikaanse bedrijven om op verzoek van de US-overheid data af te staan — ook als die data fysiek in Amsterdam of Frankfurt staat. AWS, Microsoft Azure en Google Cloud zijn dus Amerikaanse juridische entiteiten, ongeacht de locatie van hun datacenters.

Het [Schrems II-arrest (2020)](https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=NL) van het Hof van Justitie EU maakte duidelijk dat dit structureel botst met de AVG. De [Autoriteit Persoonsgegevens](https://www.autoriteitpersoonsgegevens.nl/) adviseert organisaties expliciet om voor gevoelige data niet blind te vertrouwen op US-cloudproviders — ook niet met het EU-US Data Privacy Framework als vangnet.



 

 



### Vendor lock-in: de stille afhankelijkheid

Los van de juridische risico's creëren grote cloudplatforms ook technische afhankelijkheid. Proprietary API's, gesloten dataformaten, migratiebeperkingen en escalerende prijzen na de initiële contractperiode: vendor lock-in is een bedrijfsmodel. Organisaties die hun platform hebben laten bouwen op AWS-specifieke services of een gesloten CMS merken dat overstappen duurder is dan blijven — en dat is precies de bedoeling.

Wij vinden dat anders. Een klant die bij ons weggaat, moet dat zonder penalty kunnen doen. Dat houdt ons scherp.



 

 



 

 

 

 

 

 





 ## Onze keuze: open source, Europees, zonder lock-in

 

VDMi is een Nederlands bedrijf. Wij vallen uitsluitend onder Nederlands en Europees recht. Onze servers staan in Europese datacenters bij providers die ook 100% onder EU-recht opereren. Er is geen Amerikaanse moedermaatschappij, geen CLOUD Act-blootstelling.

Wij bouwen met [Drupal](https://www.drupal.org/) — het toonaangevende open source CMS met de meest actieve enterprise-community ter wereld, gebruikt door onder andere de Europese Commissie, de Nederlandse rijksoverheid en honderden gemeenten. Drupal heeft geen licentiekosten, geen vendor lock-in en draait op standaard LAMP/LEMP-infrastructuur die u zelf kunt beheren of bij elke andere hoster kunt onderbrengen.



 

 



### Matomo in plaats van Google Analytics

Waar de meeste bureaus standaard Google Analytics integreren (en daarmee data naar de VS sturen), kiezen wij voor [Matomo](https://matomo.org/) — de Europese, open source analytics-oplossing die wij zelf hosten op uw eigen infrastructuur. Geen datadoorgifte, geen third-party cookies, volledig AVG-compliant. Uw bezoekersdata blijft van u. Meer over onze [privacy-first aanpak](/diensten).



 

 



 

 

 

 

 

 





 [ 

Geen licenties, geen lock-in

### Open source stack

Drupal, Linux, MariaDB, Docker — alles open source. Uw platform draait op standaard technologie die u bij elke competente hoster kunt onderbrengen. Geen proprietary API's, geen verborgen afhankelijkheden.

 

  Lees meer      ](/diensten) 

 

 

Servers in NL en DE

### Europese datacenters

Wij hosten uitsluitend bij Europese providers onder EU-recht. Geen CLOUD Act-blootstelling, geen datalocatie-vragen. Uw data staat aantoonbaar in Europa en blijft daar.

 

  

 

 

Uw data, uw keuze

### Altijd exporteerbaar

Wij geven u op elk moment een volledige export van uw data in open formaten. Besluit u te vertrekken? Wij helpen u bij de overdracht. Geen exit-kosten, geen data-gijzeling.

 

  

 

 

 





 ## Geen vendor lock-in: wat dat in de praktijk betekent

 

Vendor lock-in is niet altijd bewust opgebouwd — soms sluipt het erin via kleine keuzes. Een proprietary page builder hier, een gesloten analytics-tool daar, API's die alleen op één cloudplatform werken. Na drie jaar bent u afhankelijk zonder dat u het zo hebt besloten. Wij bewaken dit actief. Concreet betekent 'geen lock-in' bij VDMi:

- **Standaard exportformaten**: Drupal-content is altijd exporteerbaar via JSON:API, REST of directe database-export. Geen gesloten formaten.
- **Geen proprietary modules**: wij bouwen op [bijgedragen Drupal-modules](https://www.drupal.org/project/project_module) en community-standaarden. Maatwerk dat wij schrijven, ontvangt u als open source code onder een open licentie.
- **Infrastructuur als code**: onze deployments zijn volledig reproduceerbaar via Docker Compose en gedocumenteerde scripts. Een andere partij kan uw omgeving overnemen zonder VDMi-specifieke kennis.
- **Geen langlopende contracten**: wij werken op basis van vertrouwen en geleverde kwaliteit, niet contractuele afhankelijkheid.



 

 



### Open source als filosofie

Onze keuze voor open source gaat verder dan kostenbesparingen. Open source software wordt gecontroleerd door een brede community — niet door één leverancier die de roadmap bepaalt op basis van eigen commerciële belangen. [Drupal](https://www.drupal.org/) wordt bijvoorbeeld gebruikt en bijgedragen door de [Europese Commissie](https://commission.europa.eu/), de [Nederlandse rijksoverheid](https://www.rijksoverheid.nl/) en duizenden organisaties wereldwijd. Die community-gedreven ontwikkeling garandeert continuïteit, veiligheid en onafhankelijkheid die geen proprietary platform kan bieden.



 

 



 

 

 

 

 

 





 ## EU-compliance ingebouwd, niet achteraf toegevoegd

 

Compliance is bij ons geen checkbox-oefening — het is een architectuurkeuze. Elke implementatie die wij opleveren voldoet standaard aan:

- **AVG (GDPR)**: data staat in Europa, verwerkersovereenkomsten zijn standaard onderdeel van elk contract, geen third-party trackers zonder toestemming
- **NIS2 / [Wbni](https://wetten.overheid.nl/BWBR0050459/)**: voor organisaties in vitale sectoren en 'belangrijke entiteiten' bouwen wij aantoonbaar aan de zorgplicht — supply chain security, meldplicht-readiness en logging
- **BIO (Baseline Informatiebeveiliging Overheid)**: voor overheidsklanten sluiten wij aan op het [BIO-kader](https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/cybersecurity/bio-en-ensia/)
- **WCAG 2.2**: toegankelijkheid is voor ons geen optie — zie onze [toegankelijkheidsblogs](/blogs) voor onze aanpak



 

 



### Zelf-gehoste analytics

Wij integreren [Matomo Analytics](https://matomo.org/) als standaard alternatief voor Google Analytics. Matomo draait op uw eigen server (of de onze, in Europa), slaat geen data op bij derden en voldoet volledig aan de [AVG](https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX%3A32016R0679). U krijgt dezelfde inzichten als met GA4 — zonder de datadoorgifte naar de VS en zonder de CLOUD Act-blootstelling. Meer weten? Bekijk hoe wij dit [voor uw organisatie kunnen inrichten](/contact).



 

 



 

 

 

 

 

 





 ## De Europese wetgevingstijdlijn die de urgentie onderstreept

 

De wetgevingsontwikkelingen van de afgelopen jaren bevestigen de keuze die wij al jaren maken. Data-soevereiniteit is geen trend — het wordt wet.



 

 



 

 

 



    2018 Mei ### AVG van kracht

De Algemene Verordening Gegevensbescherming treedt in werking. Artikel 44-49 regelt doorgifte naar derde landen buiten de EER.

 

 

   2020 Juli ### Schrems II: Privacy Shield ongeldig

Het Hof van Justitie EU verklaart dat doorgifte naar de VS zonder aanvullende maatregelen in strijd is met de AVG. Een structurele bevestiging van wat wij al betoogden.

 

 

   2022 December ### NIS2-richtlijn aangenomen

NIS2 breidt de reikwijdte van cybersecurityverplichtingen fors uit. Meer organisaties vallen onder zorgplicht en meldplicht, inclusief eisen aan supply chain security.

 

 

   2024 Oktober ### NIS2-implementatiedeadline

EU-lidstaten moesten NIS2 implementeren. In Nederland via de herziene Wbni. Organisaties in vitale sectoren worden geacht te voldoen aan de zorgplicht.

 

 

   2025 Januari ### DORA van toepassing

Digital Operational Resilience Act geldt voor financiële instellingen. Stelt strenge eisen aan ICT-derde-partijrisico, inclusief cloudproviders en hostingpartners.

 

 

   2026 ### Europese digitale soevereiniteit als norm

Gaia-X certificering en EU-brede standaarden voor cloud-compliance worden volwassen. Organisaties die nu de overstap maken, lopen voor op wetgeving die er aan komt.

 

 

 

 

 

 

 

 





 [ 

Wat klanten van ons krijgen

### Juridische zekerheid

Een Nederlands bedrijf, servers in Europa, verwerkersovereenkomst conform AVG artikel 28, geen subverwerkers buiten de EER. Klaar voor NIS2-audits.

 

  Lees meer      ](/contact) 

 

 

Wat klanten van ons krijgen

### Technische vrijheid

Open source stack, infrastructuur als code, volledige data-export op elk moment. U kunt altijd weg — en dat weten wij allebei. Dat houdt ons eerlijk.

 

  

 

 

Wat klanten van ons krijgen

### Langetermijnpartner

Wij bouwen aan platforms voor de lange termijn. Geen quick wins, geen opzettelijke complexiteit. Klanten die al tien jaar bij ons zijn, zijn dat omdat ze willen — niet omdat ze vastzitten.

 

  

 

 

 





 ## Van uw huidige platform naar VDMi: zo werkt de overstap

 

Een migratie klinkt groot. In de praktijk is het een gestructureerd proces dat wij tientallen keren hebben doorlopen. Onze aanpak:

1. **Inventarisatie**: wij brengen uw huidige omgeving in kaart — welke systemen, welke data, welke afhankelijkheden. Dit levert direct inzicht op in uw compliance-positie.
2. **Architectuurontwerp**: op basis van de inventarisatie ontwerpen wij een Europese open source architectuur die past bij uw organisatie. Geen one-size-fits-all — elke implementatie is maatwerk.
3. **Gefaseerde migratie**: we migreren in waves, niet in één big bang. Minder risico, meer controle, geen downtime.
4. **Validatie**: na migratie voeren wij een compliance-check uit en updaten wij uw verwerkingsregister en verwerkersovereenkomsten.
5. **Overdracht en documentatie**: alles wordt gedocumenteerd zodat u — of een andere partij — de omgeving volledig kunt beheren.

Bent u benieuwd wat een overstap voor uw organisatie inhoudt? Bekijk onze [referenties](/projecten) of [neem direct contact op](/contact).



 

 



 

 

 

 

 

 





 ## Wat u riskeert als u niets verandert

 

Organisaties die bij een US-cloudprovider blijven, lopen reële risico's:

- **AVG-boetes tot €20 miljoen**: de [Autoriteit Persoonsgegevens](https://autoriteitpersoonsgegevens.nl/) handhaaft actief op onrechtmatige doorgiften. In 2023 legde de AP Meta een [boete van €1,2 miljard](https://www.autoriteitpersoonsgegevens.nl/actueel/nieuws/2023/05/22/europese-privacytoezichthouder-legt-meta-boete-op-van-12-miljard-euro) op.
- **NIS2-sancties en bestuurdersaansprakelijkheid**: de [Wbni](https://wetten.overheid.nl/BWBR0050459/) voorziet in persoonlijke aansprakelijkheid van bestuurders van vitale entiteiten.
- **Escalerende kosten en lock-in**: cloudproviders verhogen prijzen na de introductieperiode. Wie dan weg wil, betaalt migratiekosten die intern werden opgebouwd via vendor-specifieke [integraties](/dienst/drupal-integraties).
- **Reputatieschade**: een datalek of compliance-incident is nieuws, zeker voor overheden en publieke instellingen.

De vraag is niet *of* dit relevant is voor uw organisatie — maar *wanneer* u actie neemt.



 

 



 

 

 

 

 

 





 

 Praat met VDMi## Klaar voor Europese hosting zonder lock-in?

 

Wij vertellen u eerlijk wat een overstap voor uw organisatie betekent — technisch, juridisch en financieel. Geen verkooppraatje, wel een concreet gesprek.

 [ Neem contact op     ](/contact) 

 

 

 

 

 

 





 ## Veelgestelde vragen

    Op welke servers host VDMi?         Wij hosten uitsluitend bij Europese providers die 100% onder EU-recht vallen — servers staan in Nederlandse en Duitse datacenters. Er is geen US-moedermaatschappij en geen CLOUD Act-blootstelling. Op verzoek geven wij u de exacte provider-informatie inclusief certificeringen.

 

 



   Wat bedoelen jullie precies met 'geen vendor lock-in'?         Concreet: uw platform draait op open source software (Drupal, Linux, MariaDB), uw data is altijd exporteerbaar in open formaten (JSON, CSV, SQL), de infrastructuur is als code gedocumenteerd, en er zijn geen VDMi-specifieke proprietary componenten die alleen wij kunnen beheren. Als u morgen wilt overstappen naar een andere partij, geven wij volledige medewerking en documentatie.

 

 



   Waarom Drupal en niet WordPress of een proprietary CMS?         Drupal is enterprise open source CMS — volledig vrij, geen licentiekosten, actief onderhouden door een wereldwijde community inclusief de Europese Commissie en de Nederlandse rijksoverheid. WordPress heeft een vergelijkbaar open source model maar is minder geschikt voor complexe overheidsplatformen met strenge securityvereisten. Proprietary CMS-en (Sitecore, Adobe Experience Manager) creëren per definitie vendor lock-in en zijn afhankelijk van één leverancier voor updates en roadmap.

 

 



   Hoe zit het met Microsoft 365 en Teams?         Microsoft 365 is voor standaard werkplekfuncties met de EU Data Boundary-optie voor de meeste organisaties acceptabel. Wij adviseren over de grens: voor uw publiek-gerichte digitale platform en de data die daarin stroomt (burgerdata, klantgegevens, gevoelige informatie) kiezen wij voor Europese hosting. De werkplek-discussie is separaat.

 

 



   Kunnen jullie ook bestaande US-cloud-omgevingen migreren?         Ja. Wij hebben ervaring met het migreren van Drupal- en andere webplatformen van AWS, Azure en GCP naar Europese infrastructuur. De aanpak: inventarisatie, architectuurontwerp, gefaseerde migratie, compliance-validatie. Neem contact op voor een vrijblijvende analyse van uw situatie.

 

 



   Valt onze organisatie onder NIS2?         NIS2 geldt voor organisaties in 18 sectoren (overheid, zorg, energie, water, digitale infrastructuur en meer). De Wbni hanteert een drempel: meer dan 50 medewerkers en meer dan €10 miljoen omzet in een aangewezen sector. Twijfelt u? Wij doen graag een korte NIS2-quickscan.

 

 



   Wat zijn de kosten van hosting bij VDMi?         Dat hangt af van de omvang en complexiteit van uw platform. Europese hosting is in veel gevallen goedkoper dan vergelijkbare US-cloudconfiguraties — zeker als u de verborgen kosten meerekent (DPIA, compliance-audits, exit-kosten bij lock-in). Wij geven u graag een transparante offerte.

 

 



   Hoe zorgen jullie voor de continuïteit van mijn platform?         Onze infrastructuur is volledig gedocumenteerd als code. Wij leveren u altijd een volledige technische documentatie, inclusief deployment-scripts en configuratie. Dat betekent dat uw platform te beheren is door elke competente Drupal-partij — u bent nooit afhankelijk van alleen VDMi.

 

 [ Stel uw vraag ](/contact) 



 

  

 

 

 





## Lees meer

 

  [ ![Waarom de overheid in 2026 massaal naar Drupal kijkt — en wat dat voor jouw platform betekent](/sites/default/files/2026-06/teaser-drupal-overheid.png) Compliance Drupal Toegankelijkheid 

 

### Waarom de overheid in 2026 massaal naar Drupal kijkt — en wat dat voor jouw platform betekent

Drie Europese wetten, een 'open, tenzij'-beleid en strengere toegankelijkheidseisen komen in 2026 samen. Steeds meer overheidsorganisaties komen op dezelfde conclusie: Drupal is het fundament dat dat aankan. Waarom juist nu — en wat kun jij daarvan leren?

  Lees meer     

 ](https://vdmi.nl/blog/waarom-drupal-overheid)  [ ![Matomo + MCP: je webstatistieken vragen in gewone taal](/sites/default/files/2026-05/matomo_mcp_teaser.png) Analytics MCP / AI-integraties Privacy 

 

### Matomo + MCP: je webstatistieken vragen in gewone taal

Matomo is het open-source, privacyvriendelijke alternatief voor Google Analytics. Sinds mei 2026 kun je je statistieken dankzij de nieuwe MCP-server gewoon een vraag stellen aan een AI-assistent. Dit is wat dat betekent — en wat VDMi ermee doet.

  Lees meer     

 ](https://vdmi.nl/blog/matomo-mcp-je-webstatistieken-vragen-gewone-taal)  [ ![Waarom een Drupal-onderhoudscontract geen luxe is: de les van 20 mei 2026](/sites/default/files/2026-05/ChatGPT%20Image%2022%20mei%202026%2C%2013_27_23.png) Compliance Drupal Privacy 

 

### Waarom een Drupal-onderhoudscontract geen luxe is: de les van 20 mei 2026

Een highly-critical Drupal-lek dichten binnen uren? Dat lukt alleen met structureel onderhoud. Waarom een onderhoudscontract geen kostenpost is, maar een verzekering.

  Lees meer     

 ](https://vdmi.nl/blog/waarom-drupal-onderhoudscontract-geen-luxe-les-20-mei-2026)