Waarom cloud-opslag en cloud-backup niet hetzelfde zijn, en waarom dat belangrijk is
KEY TAKEAWAYS
Google Cloud beschermt hun infrastructuur. Ze beschermen niet jouw data.
45% van alle dataverliesincidenten vindt nu plaats in cloud- of SaaS-omgevingen — menselijke fouten, ransomware en misconfiguraties zijn de voornaamste oorzaken.
Zelfs als Google een eigen backupdienst aanbiett, zit die backup binnen hetzelfde systeem — en onder dezelfde Amerikaanse jurisdictie — als je productiedata.
Veel organisaties die naar Google Cloud zijn gemigreerd voelen zich beschermd. Google beheert de infrastructuur, biedt availability zones, geo-redundantie en een eigen Backup & DR-dienst. Wat kan er nog misgaan?
Meer dan de meeste IT-managers verwachten. Want Google Cloud beschermt het platform — niet wat jij erop zet. De verantwoordelijkheid voor jouw data ligt bij jou, niet bij Google. Dit heet het Shared Responsibility Model, en het is de meest onderschatte afspraak in de cloud.
Wat beschermt Google Cloud eigenlijk?
Google garandeert dat het GCP-platform beschikbaar is. De SLA verplicht tot hoge uptime voor de meeste diensten. Dat betekent dat de infrastructuur — de servers, het netwerk, de opslaglaag — actief blijft.
Wat Google niet garandeert, is dat jouw data overleeft wat er bovenop die infrastructuur gebeurt. Google's eigen Shared Responsibility Model stelt expliciet dat beveiliging in de cloud — je data, je configuraties, je toegangsbeheer — de verantwoordelijkheid van de klant is.
Het onderscheid is simpel: Google beschermt het gebouw. Wat erin staat, is jouw verantwoordelijkheid.
Wat kan er misgaan in Google Cloud?
Volgens onderzoek van Datastackhub vindt 45% van alle dataverliesincidenten inmiddels plaats in cloud- of SaaS-omgevingen. Dit zijn de voornaamste oorzaken:
Menselijke fouten
Bestanden worden verwijderd. Cloud Storage-buckets worden overschreven. Een beheerder verwijdert per ongeluk het verkeerde project of de verkeerde IAM-binding. Menselijke fouten zijn verantwoordelijk voor 32% van alle dataverliesincidenten wereldwijd — en zodra data voorbij het retentievenster van GCP is verwijderd, is die permanent weg.
Ransomware
Ransomware richt zich steeds vaker direct op cloudomgevingen. Cloud-ransomware-incidenten stegen in 2025 met 28% op jaarbasis, waarbij aanvallers specifiek back-uprepo's targeten om herstel te voorkomen. Een GCP-omgeving zonder onafhankelijke, onveranderlijke back-upkopie heeft geen vangnet zodra versleuteling heeft plaatsgevonden.
Misconfiguratie
Misconfiguratie is verantwoordelijk voor 68% van alle cloudgegevensblootstellingen, aldus het cloudveiligheidsrapport 2026 van SentinelOne. Een verkeerd ingesteld IAM-beleid, een te ruime serviceaccount, een per ongeluk publiek gemaakte Cloud Storage-bucket — dit zijn operationele risico's waartegen geen uptimegarantie beschermt.
CLOUD Act: de Amerikaanse overheid kan jouw data opeisen
Dit is het risico dat de meeste organisaties verrast: zelfs als jouw data Europa nooit verlaat, valt die mogelijk niet onder Europees recht. Google is een Amerikaans bedrijf. Op grond van de US CLOUD Act, van kracht sinds 2018, kunnen Amerikaanse autoriteiten Google dwingen data af te staan die overal ter wereld is opgeslagen — ook op servers in europe-west3 (Frankfurt) of europe-west4 (Nederland) — zonder de betrokkenen of Europese toezichthouders te informeren.
Jouw data staat in Google Cloud. Google Cloud staat in de EU. Maar Google staat in de VS. Onder de CLOUD Act volgt de jurisdictie het bedrijf — niet de server.
Maar Google biedt toch zelf ook backup aan — is dat niet voldoende?
Google biedt inderdaad een backupdienst: Google Cloud Backup & DR, voor Compute Engine, Cloud SQL, GKE en meer. Voor operationele scenario's — een snapshot terugzetten, een database herstellen — werkt dit goed.
Het probleem is structureel: Google Backup & DR bevindt zich binnen hetzelfde GCP-project, onder dezelfde IAM-credentials, als je productiedata. Je back-upkluis, je productieomgeving en je beheerders delen dezelfde perimeter. Eén gecompromitteerde serviceaccount of Org Admin-rol is genoeg om beide te bereiken.
En cruciaal: Google Backup & DR wordt nog steeds beheerd door een Amerikaans bedrijf. Een backup opgeslagen binnen GCP valt onder exact dezelfde CLOUD Act-jurisdictie als de data die ermee beschermd wordt.
Een onafhankelijke soevereine backup — beheerd door een Europese partij, buiten de GCP-perimeter, met een eigen identiteitsvlak — blijft toegankelijk en juridisch beschermd op het moment dat jouw Google Cloud-omgeving dat niet is.
Wil je een gedetailleerde vergelijking zien van wat Google Backup & DR dekt versus wat soevereine backup toevoegt? Bekijk de volledige vergelijking op onze Google Cloud Backup-pagina.
Wat is datasoevereiniteit — en waarom is het relevant voor Google Cloud?
Datasoevereiniteit, zoals omschreven door ENISA, is het vermogen van een organisatie of jurisdictie om te bepalen hoe haar data wordt opgeslagen, verwerkt en benaderd — inclusief bescherming tegen buitenlandse rechtskaders. Het verschilt van data-residency. Data-residency vertelt je waar de data is opgeslagen. Datasoevereiniteit vertelt je wie de toegang ertoe beheert — en wie die juridisch kan opeisen.
Een bedrijf waarvan de GCP-data in Nederland staat maar wordt beheerd door een Amerikaans bedrijf heeft data-residency in de EU. Het heeft geen datasoevereiniteit. De CLOUD Act can de Atlantische Oceaan oversteken, ongeacht waar de servers fysiek staan.
Voor organisaties die onder DORA, NIS2 of sectortoezichthouders zoals AFM of BaFin vallen, is datasoevereiniteit geen voorkeur — het is steeds vaker een auditeis.
Mindtimes soevereine backup voor Google Cloud is ontworpen om aan deze standaard te voldoen: Europese rechtspersoon, EU-geopereerde datacenters, door de klant beheerde encryptiesleutels en een identiteitsvlak volledig onafhankelijk van Google Cloud IAM.
Voor wie is dit het meest urgent?
Financiële dienstverleners
Onder DORA, dat aantoonbare operationele veerkracht en onafhankelijke herstelmogelijkheden buiten het controlevlak van één provider vereist.
Zorginstellingen
Die patiëntgegevens verwerken onder de AVG, waarbij een Amerikaans overheidsverzoek om data een meldingsplichtige inbreuk kan vormen.
Overheidsinstanties en kritieke infrastructuur
Onder NIS2, dat supply chain-risicobeheer vereist. Een cloudbackup bij een provider met een Amerikaanse moedermaatschappij is een supply chain-afhankelijkheid die NIS2-auditors markeren.
Elke organisatie waarvan de CISO of FG deze vraag heeft gekregen
"Als onze GCP-omgeving gecompromitteerd is, of als een buitenlandse overheid onze data opvraagt, wat is dan ons herstelplan?"
Wil je weten of soevereine backup bij jouw organisatie past? Neem contact op.
Conclusie
Google Cloud gebruiken is een slimme keuze. Aannemen dat Google Cloud je data beschermt, is dat niet.
Google beschermt infrastructuur. Het beschermt je niet tegen menselijke fouten, ransomware, misconfiguratie of juridische toegangsverzoeken van een buitenlandse overheid. En als Google een eigen backupdienst aanbiedt, zit die backup binnen hetzelfde platform — dezelfde jurisdictie, dezelfde IAM-credentials — als de data die je probeert te beschermen.
Soevereine backup gaat niet over wantrouwen in Google. Het gaat over het completeren van je herstelstrategie met een kopie die werkelijk onafhankelijk is: een andere operator, a andere juridische jurisdictie, een ander identiteitsvlak.
Wil je weten of soevereine backup bij jouw organisatie past? Neem contact op.