Het latentie-rekenwerk: wat de natuurkunde oplegt
Licht in vacuüm reist 299.792 km/s. Licht in glasvezelkabel reist op ruwweg 2/3 daarvan — ongeveer 200.000 km/s, of ruwweg 5 ms per 1.000 km eenrichtings. Round-trip time (RTT) is dat dubbele: ~10 ms per 1.000 km kabellengte. Echte glasvezelroutes zijn doorgaans 1,3-2x de grote-cirkelafstand, dus reken op extra latentie voor routerings-werkelijkheden.
Licht vertraagt in glas vanwege brekingsindex. De brekingsindex van single-mode glasvezel is ongeveer 1,467, dus de lichtsnelheid in glasvezel is c/1,467 ≈ 204.300 km/s. Dat geeft een eenrichtings-latentie van ongeveer 4,9 ms per 1.000 km glasvezel en een round-trip van 9,8 ms. Dit is een harde fysieke ondergrens — geen enkele engineering van een aanbieder kan de lichtsnelheid verslaan. Een nuttiger vuistregel voor productieplanning: reken op 1 ms per 100 km eenrichtings, plus 1-2 ms switching- en routerings-overhead per netwerkhop. Long-haul onderzeese kabels zijn goed ontworpen en benaderen het theoretische minimum (Londen-New York is ruwweg 70 ms RTT, dichtbij de grote-cirkellimiet van 5.500 km). Last-mile en stedelijke routes zijn vaak 5-15 ms vanwege routerhops en ISP-peering-geometrie in plaats van afstand.
Realistische RTT-schattingen tussen grote steden
Geschatte round-trip-tijden (volledige RTT) tussen grote hosting-knooppunten in 2026: Londen-Amsterdam ~10 ms, Londen-Frankfurt ~15 ms, Londen-New York ~70 ms, New York-San Francisco ~70 ms, Frankfurt-Singapore ~160 ms, Londen-Sydney ~250 ms, Tokio-San Francisco ~100 ms. Dit zijn typische glasvezel-best-case-waarden gemeten van TCP tot TCP tussen datacenter-peers.
Deze cijfers komen uit de openbare peering-data gepubliceerd door grote IXP's (LINX, AMS-IX, DE-CIX, KINX) en grootschalige latentieatlassen (RIPE Atlas, WonderNetwork, Cloudping). Uw werkelijke RTT zal 10-30% variëren afhankelijk van het tijdstip, peering-relaties tussen uw aanbieder en de ISP van uw gebruiker, en de specifieke onderzeese kabelroute die wordt gebruikt. De bovenstaande cijfers zijn typisch, niet gegarandeerd, en gaan ervan uit dat beide endpoints zich bevinden in datacenters met multi-Tbps-transit. Last-mile residentiële verbindingen voegen nog 5-30 ms toe boven op de datacenter-naar-datacenter-ondergrens.
| Van | Naar | Afstand (grote cirkel) | Typische RTT |
|---|---|---|---|
| Londen | Amsterdam | 360 km | ~10 ms |
| Londen | Frankfurt | 640 km | ~15 ms |
| Londen | Parijs | 340 km | ~10 ms |
| Frankfurt | Warschau | 900 km | ~20 ms |
| Londen | New York | 5.570 km | ~70 ms |
| New York | Miami | 1.760 km | ~30 ms |
| New York | San Francisco | 4.140 km | ~70 ms |
| San Francisco | Tokio | 8.280 km | ~100 ms |
| Frankfurt | Singapore | 10.290 km | ~160 ms |
| Londen | Sydney | 16.990 km | ~250 ms |
| Frankfurt | Mumbai | 6.580 km | ~110 ms |
| São Paulo | Miami | 6.580 km | ~120 ms |
Gegevensresidentie: AVG/GDPR, CLOUD Act en de rest
Persoonsgegevens uit de EU/EER vallen onder de AVG/GDPR (Verordening (EU) 2016/679), die overdrachten buiten de EER zonder specifieke waarborgen beperkt. De Amerikaanse CLOUD Act (2018) staat Amerikaanse autoriteiten toe om aanbieders met Amerikaanse hoofdvestiging te dwingen gegevens vrij te geven, ongeacht waar deze fysiek zijn opgeslagen. Rusland en China hebben hun eigen gegevenslokalisatieregimes. Kies een datacenterregio die aansluit op zowel de jurisdicties van uw gebruikers als uw contractuele verplichtingen.
AVG/GDPR (van kracht sinds mei 2018) behandelt elke persoonsgegeven van EU- of EER-ingezetenen — naam, e-mail, IP-adres, gedragsgegevens — als gereguleerd, ongeacht waar de verwerkingsverantwoordelijke is gevestigd. Grensoverschrijdende overdrachten vereisen een adequaatheidsbesluit, Standaardcontractbepalingen of Bindende Bedrijfsregels. Artikel 49-uitzonderingen zijn beperkt. De Schrems II-uitspraak (Hof van Justitie van de Europese Unie, juli 2020) verwierp Privacy Shield en scherpte de waarborgen voor overdrachten aanzienlijk aan. De Amerikaanse CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) staat federale Amerikaanse autoriteiten toe om elke in de VS gevestigde aanbieder te dwingen opgeslagen gegevens te leveren, zelfs als de gegevens op een server in Frankfurt staan. Dit creëert spanning voor Europese klanten die in de VS gevestigde hostingaanbieders gebruiken, ongeacht in welk datacenter hun gegevens fysiek staan. Russische Federale Wet nr. 242-FZ vereist dat persoonsgegevens van Russische burgers initieel worden verwerkt op servers fysiek binnen Rusland. Chinese PIPL (Personal Information Protection Law, van kracht sinds november 2021) vereist lokalisatie voor exploitanten van kritieke informatie-infrastructuur en voor verwerkers met hoog datavolume. Geen van deze regimes geeft erom waar uw applicatieservers draaien; alle geven erom waar persoonsgegevens worden opgeslagen en verwerkt.
Wanneer multi-regio zinvol is
Multi-regio is gerechtvaardigd wanneer u geografisch verspreide gebruikers heeft met latentievereisten onder de 100 ms, wanneer u regelgevende verplichtingen voor gegevensresidentie over jurisdicties heeft, of wanneer het downtime-risico in één regio onaanvaardbaar is. Het is zelden gerechtvaardigd voor hobbyprojecten, SaaS met weinig verkeer en gebruikers in één regio, of werklasten waarbij engineering-complexiteit zwaarder weegt dan latentievoordelen.
Multi-regio voegt drie concrete kosten toe. Ten eerste engineering-complexiteit: gegevensreplicatie (eventually-consistent of wereldwijd synchroon), routeringslogica (geo-DNS, anycast, regionale failover) en observability over regio's vermenigvuldigen allemaal het operationele oppervlak. Ten tweede infrastructuurkosten: minstens dubbele compute en opslag, plus inter-regio-transitkosten die cloud-aanbieders per GB rekenen. Ten derde consistentie-afwegingen: synchrone globale schrijfacties zijn fysiek beperkt door dezelfde latentie-wiskunde uit de vorige sectie, dus de meeste multi-regio-ontwerpen accepteren een vorm van eventual consistency. De rechtvaardigingen die die kosten waard zijn: echte gebruikers verspreid over continenten waar 200+ ms latentie de conversie laat instorten, disaster recovery-vereisten met sub-seconde RTO, regelgevende verplichtingen om EU-gegevens in de EU te houden en VS-gegevens tegelijkertijd in de VS, of active-active high-availability-vereisten waarbij elke uitval van één datacenter onzichtbaar moet zijn. De meeste productiewerklasten hebben het niet nodig; veel ontwerpen over-engineeren ernaartoe.
Beslisboom: hoe een regio te kiezen
Stap 1: identificeer waar 80% van uw gebruikers woont (analytics, CDN-logs, verwachte doelmarkt). Stap 2: kies de dichtstbijzijnde hostingregio. Stap 3: controleer of de juridische jurisdictie aansluit op uw verplichtingen voor gegevensresidentie. Stap 4: voeg alleen een tweede regio toe als stap 1 een tweede gebruikerscluster onthult op meer dan 100 ms RTT van de eerste, of als HA/DR-vereisten dat eisen.
Doorloop de boom eerlijk. Voor een typische op Europa gerichte SaaS met gebruikers vooral in Duitsland, Frankrijk, het VK en Nederland houdt één West-Europees datacenter (Frankfurt, Amsterdam of Londen) elke gebruiker onder 30 ms RTT en voldoet schoon aan de AVG/GDPR. Voor een op de VS gericht B2B-product met gebruikers van Boston tot Los Angeles houdt één datacenter aan de Amerikaanse oostkust (Ashburn, NYC) oostkustgebruikers onder 20 ms en westkustgebruikers onder 80 ms — slecht voor gaming, prima voor de meeste SaaS. Voor werkelijk wereldwijde producten (webapps met gebruikers op elk continent) verslaat een primaire regio plus een CDN met wereldwijde edge-aanwezigheid doorgaans actief-actief draaien in drie datacenters. Voor producten met harde gegevensresidentie-eisen over jurisdicties (een alleen-EU- en alleen-VS-data-plane) wordt multi-regio verplicht ongeacht latentie.
Compliance-snelkoppelingen: certificeringen die werkelijk iets betekenen
Zoek naar ISO/IEC 27001 (informatiebeveiligingsbeheer), SOC 2 Type II (operationele controles geaudit over tijd, niet op één moment) en PCI DSS Level 1 (betalingsgegevens) indien van toepassing. Voor EU-klanten zoek naar expliciete AVG/GDPR-verwerkersovereenkomsten (DPA's) en een duidelijke lijst van subverwerkers. Generieke 'enterprise-grade security'-marketing zonder genoemde certificeringen is in wezen betekenisloos.
Drie certificeringen hebben werkelijk gewicht. ISO/IEC 27001:2022 is de internationale standaard voor managementsystemen voor informatiebeveiliging en vereist een onafhankelijke audit en doorlopende toezichtsaudits. SOC 2 Type II audit de controles van een organisatie over een observatieperiode van 6-12 maanden, wat het onderscheidt van Type I (op één moment). PCI DSS is van toepassing als u betalingskaarten verwerkt; Level 1 is voor organisaties die 6+ miljoen transacties per jaar verwerken. Voor Europese klanten is de AVG/GDPR-DPA (verwerkersovereenkomst) contractueel bindend en vermeldt precies wat de aanbieder wel en niet met uw gegevens mag doen. Daarnaast: zoek naar transparantierapporten (hoe vaak ontvangt de aanbieder verzoeken van rechtshandhaving?), een gepubliceerde lijst van subverwerkers (derden die uw gegevens aanraken) en duidelijke garanties voor gegevensverwijdering bij contractbeëindiging. Generieke termen als 'bank-grade security' of 'military-grade encryption' zeggen u niets — het onderliggende AES-256-algoritme is overal hetzelfde.