Hoe werkt de scan?
SoevereinScan simuleert een echt websitebezoek met een volledige Chromium-browser. De browser opent uw website precies zoals een bezoeker dat zou doen: pagina laden, stylesheets ophalen, scripts uitvoeren, afbeeldingen tonen.
Tijdens dat bezoek registreren we alle verbindingen die de browser maakt. Welke servers worden gecontacteerd? Welke externe diensten worden geladen? Welke domeinen zijn betrokken? Zo ontstaat een compleet beeld van de digitale afhankelijkheden van uw website.
We gebruiken anti-detectietechnologie zodat websites normaal reageren — niet anders dan bij een echt bezoek. Cookie-consentbanners worden automatisch geaccepteerd, zodat we het volledige beeld krijgen van alle diensten die na toestemming worden geladen.
Welke bronnen gebruiken we?
Om te bepalen bij welke organisatie en in welk land een server hoort, combineren we meerdere openbare bronnen:
MaxMind GeoLite2
Een database die bij elk IP-adres het land en de netwerkorganisatie opzoekt. Deze database draait lokaal op onze server — er wordt geen data naar externe partijen gestuurd.
PeeringDB
Een openbare database van netwerkorganisaties. We zoeken hiermee op welk bedrijf een netwerk beheert en in welk land dat bedrijf is gevestigd. PeeringDB wordt wereldwijd gebruikt door netwerkbeheerders en is een betrouwbare bron voor organisatiegegevens.
RIPEstat (RIPE NCC)
De Europese Internet Registry beheert gegevens over IP-adressen en netwerken in Europa, het Midden-Oosten en delen van Centraal-Azie. We gebruiken RIPEstat als aanvulling wanneer PeeringDB onvoldoende informatie geeft over het registratieland van een netwerk.
Handmatige correctielijst
Voor bekende uitzonderingen onderhouden we een handmatige lijst. Denk aan bedrijven die in de EU zijn geregistreerd maar een Amerikaans moederbedrijf hebben, of aan Europese dochterondernemingen van niet-Europese concerns. Deze lijst zorgt ervoor dat het jurisdictie-oordeel zo accuraat mogelijk is.
Hoe beoordelen we soevereiniteit?
Het resultaat wordt uitgedrukt in zes niveaus (0 tot 5), vergelijkbaar met een energielabel (A tot F). Elk niveau geeft aan in hoeverre een dienst onder Europese jurisdictie valt:
EU-bedrijf, servers in de EU én de netwerkeigenaar is bevestigd als EU-organisatie via PeeringDB. Alle drie de lagen zijn Europees.
EU-bedrijf met servers in de EU, maar de netwerkeigenaar is onbekend of niet apart bevestigd. Of: geen bekend moederbedrijf, maar PeeringDB bevestigt een EU-organisatie.
Servers in de EU, maar het moederbedrijf of de netwerkeigenaar is onbekend of buiten de EU gevestigd.
Niet-EU moederbedrijf, ongeacht serverlocatie.
Onvoldoende gegevens, geen waarborgen voor digitale soevereiniteit vastgesteld.
Het niveau is geen oordeel maar een indicatie. Een website op niveau 2 is niet "fout" — het betekent dat er diensten worden gebruikt van niet-Europese partijen. De keuze om een niet-Europees bedrijf te gebruiken kan bewust en weloverwogen zijn. Het gaat erom dat u weet welke keuzes er zijn gemaakt en welke alternatieven er bestaan.
Hoe wordt de totaalscore berekend?
Niet elke dienst heeft dezelfde impact op uw digitale soevereiniteit. De server waarop uw website draait verwerkt al het verkeer van uw bezoekers — dat weegt zwaarder dan een klein tracking-script dat beperkte gegevens verstuurt.
Daarom gebruiken we een gewogen score. Elke dienst wordt ingedeeld in een categorie, en die categorie bepaalt hoeveel invloed de dienst heeft op de totaalscore:
De servers waarop uw website draait. Hier gaat al het verkeer van uw bezoekers doorheen. Dit telt het zwaarst mee.
Diensten die uw website beschermen en versnellen, zoals Cloudflare. Deze zien al het verkeer als tussenstation.
Diensten die niet in een andere categorie vallen maar wel data van uw bezoekers ontvangen.
Analytics en tracking scripts (zoals Google Analytics) versturen beperkte gegevens: paginabezoeken, klikgedrag. Dit weegt minder zwaar dan hosting.
Lettertypen en kleine bestanden die worden opgehaald. Hierbij gaat minimale data naar de aanbieder (alleen welke pagina het lettertype laadt).
Voorbeeld: een website die op een Nederlandse server draait (niveau 4) maar Google Analytics gebruikt (niveau 1) scoort veel beter dan een website die bij Amazon draait (niveau 1) maar geen tracking heeft. De hosting bepaalt het merendeel van de score, omdat daar de meeste data doorheen gaat.
Dit betekent niet dat analytics onbelangrijk is — het blijft zichtbaar als bevinding in het rapport, met bijbehorende alternatieven. Maar het trekt de totaalscore niet meer onevenredig omlaag.
Hoe om te gaan met soevereiniteit?
Digitale soevereiniteit is geen knop die u omzet — het is een proces. De meeste organisaties hebben historisch gekozen voor bepaalde leveranciers, vaak om goede redenen: functionaliteit, kosten, beschikbaarheid of simpelweg omdat het de standaard was. Dat is begrijpelijk en daar is niets mis mee.
Overstappen naar Europese alternatieven kost tijd, geld en aandacht. Het is daarom verstandig om stapsgewijs te werk te gaan:
Begin met inventariseren
Weet welke diensten u gebruikt. De scan geeft u dat overzicht. Vaak zijn organisaties verrast door het aantal externe diensten dat hun website laadt — diensten die soms zijn toegevoegd door een vorige leverancier of een oud marketingexperiment.
Prioriteer: laaghangend fruit en kroonjuwelen
Niet alles hoeft tegelijk. Laaghangend fruit — tracking pixels, analytics, webfonts — is vaak eenvoudig te vervangen en kunt u direct aanpakken.
Maar het gaat ook om de kroonjuwelen: de systemen waarin uw belangrijkste data en processen draaien. Zijn die duidelijk in kaart gebracht? Weet u welke leveranciers daar toegang toe hebben? Kroonjuwelen zijn vaak het lastigst om soeverein te krijgen, juist omdat er veel afhankelijkheden zijn — contracten, koppelingen, gebruikers die gewend zijn aan een bepaalde werkwijze. Maak daarom tijdig goede keuzes en neem de tijd voor het migreren naar soevereine oplossingen die passen bij uw data en processen.
Bespreek met uw leverancier
Veel aanpassingen zijn eenvoudiger door te voeren dan u denkt. Of het nu gaat om een website, een webapplicatie, een SaaS-platform of een interne tool — het begint met het gesprek. Bij een website kan uw leverancier vaak snel fonts of analytics vervangen. Bij een webapplicatie of SaaS-platform spelen andere afwegingen: datamigratie, integraties, continuiteit. Elk type systeem vraagt om een eigen aanpak, maar de eerste stap is altijd dezelfde: weten wat u gebruikt en het gesprek aangaan.
Maak bewuste keuzes
Soms is een niet-Europese dienst de beste optie — vanwege functionaliteit, betrouwbaarheid of kosten. Dat is prima, zolang u weet waarom u die keuze maakt. Een bewuste keuze is altijd beter dan een onbewuste afhankelijkheid.
Documenteer uw keuzes
Leg vast welke diensten u gebruikt, waarom u daarvoor heeft gekozen, en welke alternatieven u heeft overwogen. Dat is waardevol voor uw eigen organisatie, voor verantwoording richting toezichthouders, en voor toekomstige beslissingen.
Herhaal de scan periodiek
Digitale soevereiniteit is geen eindpunt maar een doorlopend proces. Websites veranderen, diensten worden toegevoegd of vervangen, en de markt van Europese alternatieven groeit. Scan uw website regelmatig om bij te blijven.
SoevereinScan is er om u te helpen, niet om u te beoordelen. Ons doel is dat u met kennis van zaken kunt beslissen over de digitale diensten die u gebruikt. Welke keuze u ook maakt — als het een bewuste keuze is, is het een goede keuze.