Wij zitten in de Azure cloud, met onze data kan niets gebeuren.

Q: Wat is het verschil tussen cloud-opslag en een cloud-backup?

Cloud-opslag is waar je data staat. Een cloud-backup is een onafhankelijke kopie van die data, apart bewaard, die gebruikt kan worden om bedrijfsvoering te herstellen als de primaire kopie verloren gaat, beschadigd raakt of onbereikbaar wordt. Een backup bewaard binnen dezelfde cloudomgeving als je productiedata is niet werkelijk onafhankelijk — als de omgeving gecompromitteerd is, lopen beide kopieën risico.

11 mei, 2026
11:48 am

Waarom cloud-opslag en cloud-backup niet hetzelfde zijn — en waarom dat belangrijk is

KEY TAKEAWAYS

Cloud providers zoals Azure, AWS en Google Cloud beschermen hun infrastructuur. Ze beschermen niet jouw data.

45% van alle dataverliesincidenten vindt nu plaats in cloud- of SaaS-omgevingen — menselijke fouten, ransomware en misconfiguraties zijn de voornaamste oorzaken.

Zelfs als Azure een eigen backupdienst aanbiedt, zit die backup binnen hetzelfde systeem — en onder dezelfde Amerikaanse jurisdictie — als je productiedata.

Het is een van de meest voorkomende aannames in moderne IT: we zijn naar de cloud gegaan, dus onze data is veilig. Azure wordt beheerd door Microsoft. Google Cloud door Google. AWS door Amazon. Met al die infrastructuur en al die middelen is onze data toch wel beschermd?
Deze aanname is begrijpelijk, en onjuist.
Cloud providers investeren miljarden in de beschikbaarheid van hun platforms. Ze beschermen hardware, netwerken en uptime. Maar de verantwoordelijkheid voor het beschermen van jouw data — tegen verwijdering, ransomware, misconfiguratie of juridische toegangsverzoeken — ligt bij jou, niet bij hen. Dit heet het Shared Responsibility Model, en de meeste organisaties ontdekken dat het bestaat pas wanneer ze er daadwerkelijk op moeten terugvallen.
Dit artikel legt uit wat cloud-opslag wel beschermt, wat niet, en waarom een onafhankelijke soevereine backup — buiten de eigen omgeving van de cloud provider — het ontbrekende onderdeel is in de datastrategie van de meeste organisaties.

Wat beschermt Azure eigenlijk?

Microsoft garandeert dat het Azure-platform beschikbaar is. De SLA verplicht tot 99,9% uptime voor de meeste diensten. Dat betekent dat de infrastructuur — de servers, het netwerk, de opslaglaag — actief blijft.
Wat Microsoft niet garandeert, is dat jouw data overleeft wat er bovenop die infrastructuur gebeurt. Microsofts eigen Serviceovereenkomst stelt expliciet: "Wij raden aan dat u regelmatig een back-up maakt van uw inhoud en gegevens die u opslaat in de diensten of via apps en diensten van derden."
Het onderscheid is simpel: Microsoft beschermt het gebouw. Wat erin staat, is jouw verantwoordelijkheid.

Wat kan er misgaan in de cloud?

Het idee dat cloudomgevingen inherent veilig zijn, houdt stand ondanks een duidelijk bewijs van het tegendeel. Volgens onderzoek van Datastackhub, vindt 45% van alle dataverliesincidenten inmiddels plaats in cloud- of SaaS-omgevingen. Dit zijn de voornaamste oorzaken:

Menselijke fouten

Bestanden worden verwijderd. Configuraties worden overschreven. Een beheerder verwijdert per ongeluk het verkeerde object. Menselijke fouten zijn verantwoordelijk voor 32% van alle dataverliesincidenten wereldwijd. En zodra data voorbij het retentievenster van een cloudomgeving is verwijderd, is die permanent weg.

Ransomware

Ransomware richt zich steeds vaker direct op cloudomgevingen. Cloud-ransomware-incidenten stegen in 2025 met 28% op jaarbasis, waarbij aanvallers specifiek back-uprepo's targeten om herstel te voorkomen. Een cloudomgeving zonder onafhankelijke, onveranderlijke back-upkopie heeft geen vangnet zodra versleuteling heeft plaatsgevonden.

Misconfiguratie

Misconfiguratie is verantwoordelijk voor 68% van alle cloudgegevensblootstellingen, aldus het cloudveiligheidsrapport 2026 van SentinelOne. Een verkeerd ingesteld toegangsbeleid, een onjuist bereik van een machtiging, een verwijderde resourcegroep — dit zijn operationele risico's waartegen geen uptimegarantie beschermt.

CLOUD Act: De Amerikaanse overheid kan jouw data opeisen

Microsoft is een Amerikaans bedrijf. Op grond van de US CLOUD Act, van kracht sinds 2018, kunnen Amerikaanse autoriteiten Microsoft dwingen data af te staan die overal ter wereld is opgeslagen — ook op servers in Amsterdam of Frankfurt — zonder de betrokkenen of Europese toezichthouders te informeren. In juni 2025 bevestigde de Chief Legal Counsel van Microsoft France voor de Franse Senaat dat Microsoft niet kan garanderen dat Europese data nooit onderwerp wordt van een Amerikaans overheidsverzoek.
Jouw data staat in Azure. Azure staat in de EU. Maar Microsoft staat in de VS. Onder de CLOUD Act volgt de jurisdictie het bedrijf — niet de server.

Maar Azure biedt toch zelf ook backup aan — is dat niet voldoende?

Azure biedt inderdaad een backupdienst: Azure Backup, Recovery Services Vaults en geo-redundante opslag. Voor veel operationele scenario's — een verwijderd bestand terugzetten, een virtuele machine terugdraaien — werken deze tools goed.

Het probleem is structureel: Azure Backup bevindt zich binnen hetzelfde Microsoft-controlevlak als je productiedata. Als je tenant gecompromitteerd raakt — via een gestolen beheerdersaccount, ransomware die je back-upkluis aanvalt, of een tenant-lockout — wordt je backup op exact hetzelfde moment aangetast als je productieomgeving.

Toegang tot Recovery Services Vaults wordt beheerd via Microsoft Entra ID. Als Entra ID onbereikbaar wordt, geldt dat ook voor je backup. In oktober 2025 zorgde een configuratiefout in Microsofts Azure Front Door voor een wereldwijde Entra ID-authenticatiestoring die Microsoft 365, de Azure Portal en duizenden afhankelijke diensten tegelijk raakte.

En cruciaal: Azure Backup wordt nog steeds beheerd door een Amerikaans bedrijf. Een backup opgeslagen binnen Azure valt onder precies dezelfde CLOUD Act-jurisdictie als de data die ermee beschermd wordt.

Een onafhankelijke soevereine backup — beheerd door een Europese partij, buiten de Microsoft-perimeter, met een eigen identiteitsvlak — blijft toegankelijk en juridisch beschermd op het moment dat jouw Azure-omgeving dat niet is.

Wil je een gedetailleerde vergelijking zien van wat Azure Backup dekt versus wat soevereine backup toevoegt?Bekijk de volledige vergelijking op onze Azure Cloud Backup-pagina.

Wat is datasoevereiniteit — en waarom is het relevant?

Datasoevereiniteit, zoals omschreven door ENISA,is het vermogen van een organisatie of jurisdictie om te bepalen hoe haar data wordt opgeslagen, verwerkt en benaderd — inclusief bescherming tegen buitenlandse rechtskaders.

Het verschilt van data-residency. Data-residency vertelt je waar de data is opgeslagen. Datasoevereiniteit vertelt je wie de toegang ertoe beheert — en wie die juridisch kan opeisen.

Een bedrijf waarvan de Azure-data in West-Europa staat maar wordt beheerd door een Amerikaans bedrijf heeft data-residency in de EU. Het heeft geen datasoevereiniteit. De CLOUD Act kan de Atlantische Oceaan oversteken, ongeacht waar de servers fysiek staan.

Voor organisaties die onder DORA, NIS2 of sectortoezichthouders zoals AFM of BaFin vallen, is datasoevereiniteit geen voorkeur — het is steeds vaker een auditeis. Het Europese Cloud Sovereignty Framework, gepubliceerd in oktober 2025, introduceerde een formele soevereiniteitsscore om clouddiensten te beoordelen op blootstelling aan buitenlandse wetgeving zoals de CLOUD Act.

Mindtime's soevereine backup voor Azure is ontworpen om aan deze standaard te voldoen: Europese rechtspersoon, EU-geopereerde datacenters, door de klant beheerde encryptiesleutels en een identiteitsvlak onafhankelijk van Microsoft Entra ID.

Voor wie is dit het meest urgent?

Elke organisatie met data in de cloud draagt enige blootstelling. Maar de urgentie is het grootst voor:

Financiële dienstverleners

onder DORA, dat aantoonbare operationele veerkracht en onafhankelijke herstelmogelijkheden buiten het controlevlak van één provider vereist.

Zorginstellingen

die patiëntgegevens verwerken onder de AVG, waarbij een Amerikaans overheidsverzoek om data — hoe onwaarschijnlijk ook — een meldingsplichtige inbreuk met significante regelgevende gevolgen kan vormen.

Overheidsinstanties en kritieke infrastructuur

onder NIS2, dat supply chain-risicobeheer vereist. Een cloudbackup bij een provider met een Amerikaanse moedermaatschappij is een supply chain-afhankelijkheid die NIS2-auditors markeren.

Elke organisatie waarvan de CISO of FG deze vraag heeft gekregen:

"Als onze cloud provider onbereikbaar is, of als een buitenlandse overheid onze data opvraagt, wat is dan ons herstelplan?"

Een soevereine backup via Mindtime's Backup as a Service betekent dat die vraag een getest, gedocumenteerd antwoord heeft.

Conclusie

Naar de cloud gaan is een slimme keuze. Aannemen dat de cloud een vervanging is voor backup, is dat niet.

Azure, AWS en Google Cloud beschermen infrastructuur. Ze beschermen je niet tegen menselijke fouten, ransomware, misconfiguratie of juridische toegangsverzoeken van een buitenlandse overheid. En als ze een eigen backupdienst aanbieden, zit die backup binnen hetzelfde platform — dezelfde jurisdictie, hetzelfde identiteitssysteem — als de data die je probeert te beschermen.

Soevereine backup gaat niet over wantrouwen in Microsoft. Het gaat over het completeren van je herstelstrategie met een kopie die werkelijk onafhankelijk is: een andere operator, een andere juridische jurisdictie, een ander identiteitsvlak. Eén die standhoudt niet alleen als een schijf uitvalt, maar ook als een tenant uitvalt, een beheerdersaccount gecompromitteerd raakt, of een rechter een bevel uitvaardigt.

Veelgestelde vragen

Is mijn data veilig in de cloud?

Cloud providers beschermen hun infrastructuur — uptime, hardware, netwerkbeschikbaarheid. Ze beschermen je data niet tegen verwijdering, misconfiguratie, ransomware of juridische toegangsverzoeken. Volgens recent onderzoek vindt 45% van alle dataverliesincidenten nu plaats in cloud- of SaaS-omgevingen. Je data in de cloud bewaren is niet hetzelfde als er een backup van maken. Jij blijft verantwoordelijk voor het kunnen herstellen van je data — uit welke oorzaak dan ook, op elk moment — en die verantwoordelijkheid draag je niet over aan je cloud provider.

Wat is het verschil tussen cloud-opslag en een cloud-backup?

Cloud storage is where your data lives. A cloud backup is an independent copy of that data, held separately, that can be used to restore operations if the primary copy is lost, corrupted, or inaccessible. The key word is independent: a backup held inside the sa rc me cloud environment as your production data — as is the case with Azure Backup — is not truly independent. If the environment is compromised, both copies are at risk. A genuine backup sits outside the primary platform, under separate management, with immutable storage that cannot be modified or deleted through the same credentials that may have caused the incident.

Betekent soevereine backup dat ik Azure moet verlaten?

Nee. Soevereine backup is ontworpen als aanvulling op je bestaande Azure-omgeving, niet als vervanging. Je blijft Azure gebruiken voor je workloads en bedrijfsvoering. De soevereine backup voegt een onafhankelijke kopie toe — buiten de Microsoft-infrastructuur, onder Europees recht, met eigen identiteitsbeheer — waar je toezichthouders, auditors en bestuur op kunnen wijzen als bewijs van echte herstelbaarheid. De meeste organisaties houden Azure Backup voor snel operationeel herstel en voegen soevereine backup toe als onafhankelijke laag voor regelgevingsnaleving en worst-case scenario's.

Voor Bedrijven

Voor Managed Service Providers

Backup

Monitoring

Security