Beveiliging 5 min leestijd

Cloudflare en de AVG: wanneer wordt het een probleem?

Cloudflare valt onder Amerikaans recht. Voor websites in zorg, overheid of juridische dienstverlening is dat een AVG-risico. Dit is wat dat betekent en welke alternatieven er zijn.

Illustratie van EU- en Amerikaanse jurisdictie rond een Cloudflare-pictogram

Bij wpadmins kiezen we bewust voor EU-first infrastructuur. Geen marketing-leus, maar een fundamentele keuze met juridische consequenties. Een van de directe gevolgen is dat we Cloudflare niet inzetten voor klanten die werken met gevoelige persoonsgegevens: zorginstellingen, juridische dienstverleners, overheidsorganisaties of bedrijven met klanten in die sectoren.

In dit artikel leggen wij uit waarom.

Het misverstand: "EU-datacenter = AVG-veilig"

De gangbare aanname is simpel: zolang mijn data fysiek in een Europees datacenter staat, voldoe ik aan de AVG. Cloudflare heeft datacenters in Amsterdam, Frankfurt en Parijs, dus dat zit goed, toch?

Dat klopt niet helemaal. Het verschil tussen waar je data staat en wie er juridisch toegang toe heeft, is precies waar het schoentje wringt.

Cloudflare is een Amerikaans bedrijf. Daarmee valt het onder twee Amerikaanse wetten die de EU-locatie van een datacenter juridisch irrelevant maken:

  • De CLOUD Act (2018) verplicht Amerikaanse bedrijven om data te overhandigen aan Amerikaanse autoriteiten op verzoek, ongeacht waar die data staat.
  • FISA Section 702 stelt Amerikaanse inlichtingendiensten in staat om communicatie van niet-Amerikanen buiten de VS te onderscheppen via Amerikaanse aanbieders.

Beide wetten zijn nog steeds volledig van kracht. FISA 702 is in april 2024 zelfs herbevestigd en uitgebreid: de definitie van "electronic communication service provider" is opgerekt, waardoor meer partijen verplicht worden mee te werken.

Waarom Schrems II hier nog steeds toe doet

In juli 2020 verklaarde het Europees Hof van Justitie het Privacy Shield (toen het officiële juridische kader voor data-uitwisseling tussen EU en VS) ongeldig. Het arrest staat bekend als Schrems II.

De redenering van het Hof was niet politiek, maar structureel. Amerikaanse surveillance-wetgeving, met name FISA 702 en Executive Order 12333, geeft Amerikaanse autoriteiten toegang die volgens EU-maatstaven verder gaat dan strikt noodzakelijk en proportioneel. Bovendien hebben EU-burgers in de VS geen effectieve juridische mogelijkheid om hier verhaal tegen te halen.

Dat is geen interpretatie, maar wat het Hof formeel heeft vastgesteld.

Het Data Privacy Framework lost het niet op

In juli 2023 trad het EU-US Data Privacy Framework in werking, de derde poging om transatlantische datatransfers juridisch te regelen na de mislukkingen van Safe Harbor (2000-2015) en Privacy Shield (2016-2020).

Het probleem: het DPF verandert niets aan de onderliggende Amerikaanse wetten. FISA 702 en de CLOUD Act zijn ongewijzigd. Het DPF voegt alleen procedurele waarborgen toe (een redress-mechanisme via een nieuw Data Protection Review Court), maar de bevoegdheden van Amerikaanse autoriteiten blijven hetzelfde.

Dat is geen detail; het is precies waar Max Schrems en NOYB hun nieuwe juridische uitdaging op richten. Een Schrems III is in de maak. Het patroon van de afgelopen 25 jaar (Safe Harbor onderuit, Privacy Shield onderuit) geeft weinig reden om aan te nemen dat het DPF deze keer wel standhoudt.

Wat dit betekent voor jouw website

De praktische vraag is: wanneer is dit een probleem?

Voor een eenvoudige bedrijfswebsite zonder gebruikersaccounts of formulieren is het risico laag. Cloudflare ziet vooral statisch verkeer, er passeren weinig persoonsgegevens.

Voor websites die wél persoonsgegevens verwerken wordt het complexer:

  • Contactformulieren: naam, e-mail, eventueel telefoonnummer en bericht
  • Klantportalen: login-credentials, sessiedata, mogelijk inhoudelijke documenten
  • WooCommerce of andere webshops: adresgegevens, betalingsinformatie, bestelhistorie
  • Reserveringssystemen: afspraakgegevens (in zorg: medische context)

Al dat verkeer passeert Cloudflare, dat technisch gezien als reverse proxy fungeert en de inhoud van het verkeer (inclusief versleutelde verbindingen) kan inzien. Dat is namelijk hoe Cloudflare's beveiliging werkt: de SSL-verbinding wordt op hun servers afgebroken, geanalyseerd, en opnieuw versleuteld richting de oorspronkelijke server.

Voor een gemiddelde marketingwebsite is dat acceptabel. Voor een fysiotherapiepraktijk of advocatenkantoor zou ik er anders over denken.

De toets in één zin

De toets laat zich in één vraag samenvatten: is het moederbedrijf van je provider gevestigd in de Verenigde Staten? Als het antwoord ja is, dan is de CLOUD Act van toepassing, ongeacht datacenterlocatie, ongeacht versleuteling die de provider zelf beheert, ongeacht contractuele afspraken.

Cloudflare, AWS, Microsoft Azure, Google Cloud, Fastly: allemaal Amerikaanse moederbedrijven. Allemaal vallen onder dezelfde wetgeving.

EU-alternatieven die we wél inzetten

Voor klanten waar dit speelt, kiezen we voor Europese leveranciers:

  • Bunny.net: Sloveense CDN met PoP's wereldwijd, maar onder EU-recht. Vergelijkbare functionaliteit als Cloudflare voor caching, edge delivery en basic DDoS-bescherming.
  • Hetzner en Netcup: Duitse hosting providers, beide ISO 27001 gecertificeerd, beide volledig onder EU-jurisdictie. Onze managed WordPress hosting draait op deze infrastructuur.
  • Backblaze B2 (EU-regio) voor backups. Backblaze is technisch een Amerikaans bedrijf; voor klanten waar dit kritiek is bieden we een volledig EU-gehoste backup-oplossing aan op infrastructuur die we zelf beheren.

Voor websites die DDoS-bescherming nodig hebben zonder Cloudflare, werken we met een combinatie van Bunny Shield en server-side rate limiting. Voor de meeste WordPress sites is dat ruim voldoende.

Wanneer is Cloudflare wél verdedigbaar?

Eerlijk blijven: voor een grote groep websites is Cloudflare gewoon een uitstekende oplossing. Snel, robuust, gratis tier voor kleine sites. Als je een persoonlijk blog, een hobbyproject of een marketingsite hebt zonder gevoelige formulieren, zou ik je niet afraden Cloudflare te gebruiken.

In die categorie valt op dit moment ook wpadmins.nl zelf. Onze frontend draait achter Cloudflare, omdat deze site zelf geen klant-persoonsgegevens verwerkt buiten een eigen contactformulier dat direct naar onze EU-server gaat. Voor klantsites die wél onder de gevoelige categorie vallen, draaien we standaard zonder Cloudflare. Eerlijk verhaal, geen marketing-zuiverheid die in de praktijk niet uitkomt.

Maar zodra een website persoonsgegevens verwerkt, en helemaal als die gegevens vallen onder bijzondere categorieën zoals gezondheidsgegevens, juridische dossiers of financiële informatie, wordt het verhaal anders. Dan is de toets niet meer "werkt het goed?", maar "kan ik aan een toezichthouder uitleggen waarom ik dit heb gekozen?".

Voor onze klanten in die sectoren is het antwoord op die vraag het uitgangspunt. Daarom kiezen we EU-first.

Wat je nu kunt doen

Als je twijfelt of jouw huidige hostingsetup hier voldoet, zijn er een paar concrete stappen:

  1. Inventariseer welke Amerikaanse providers in je stack zitten. Niet alleen hosting, ook CDN, e-mail, analytics, formulier-tools en klantportalen.
  2. Beoordeel per provider welke persoonsgegevens er passeren. Voor de meeste sites is dat verrassend veel.
  3. Maak een Transfer Impact Assessment als je verwerker bent voor klanten in gevoelige sectoren. Dit is sinds Schrems II formeel vereist.
  4. Overweeg EU-alternatieven voor de gevallen waar het ertoe doet.

Twijfel je over jouw situatie of wil je dit eens samen doorlopen? Stuur een bericht via /contact, dan kijken we mee. Geen verkooppraatje, gewoon een eerlijke afweging op basis van wat jouw site doet en welke klanten je hebt.

Verder lezen over hoe het bredere WordPress-beveiligingslandschap er in 2026 uitziet, kan in WordPress beveiliging in 2026.

Dit is geen juridisch advies. Voor specifieke vragen over jouw situatie raden we aan een AVG-jurist te raadplegen.