In één zin. Doorgifte van persoonsgegevens buiten de EU/EER vereist een specifieke wettelijke basis onder AVG hoofdstuk V — en sinds Schrems II (juli 2020) is dit hét handhavingsterrein bij uitstek, met de Uber-boete van 290 miljoen EUR (2024) als waarschuwing voor wie SCC’s of DPF-status negeert.
Belangrijkste punten
- Drie hoofdroutes: adequaatheidsbesluit, passende waarborgen (SCC’s, BCR), uitzonderingen (art. 49).
- EU-US Data Privacy Framework actief sinds 10 juli 2023.
- SCC’s versie 2021 verplicht voor nieuwe contracten.
- Transfer Impact Assessment (TIA) bij geen adequaatheid.
- Uber 290 M EUR (2024): leerzaam over consequenties.
- DPF risico op nieuwe vernietiging door HvJ EU (Schrems III in voorbereiding).
“Persoonsgegevens die worden verwerkt of bestemd zijn voor verwerking na doorgifte aan een derde land (…) mogen slechts worden doorgegeven indien (…) de verwerkingsverantwoordelijke en de verwerker voldoen aan de in dit hoofdstuk neergelegde voorwaarden.” (art. 44 AVG)
1. Wettelijk kader hoofdstuk V
Art. 44-50 AVG (EUR-Lex). Algemene regel art. 44: doorgifte naar derde land of internationale organisatie alleen toegestaan indien doorgever en ontvanger waarborgen voor beschermingsniveau gelijkwaardig aan AVG. Verbod op verzwakking via doorgifte.
2. Adequaatheidsbesluiten (art. 45)
Europese Commissie beoordeelt landen op adequaatheid. Per 2026 geldt voor:
- Andorra, Argentinië, Canada (commerciële organisaties), Faeröer, Guernsey, Israel, Eiland Man, Japan, Jersey, Nieuw-Zeeland, Republiek Korea, Zwitserland, Uruguay, Verenigd Koninkrijk, Verenigde Staten (DPF-gecertificeerde organisaties).
Voor deze landen geen aanvullende waarborgen nodig — een gewone AVG-rechtsgrond uit artikel 6 is voldoende.
3. EU-US Data Privacy Framework (sinds 10 juli 2023)
Vervanging van Privacy Shield (vernietigd 2020 door Schrems II). Vereist:
- VS-organisatie zelfcertificeert bij US Department of Commerce.
- Naleven Framework Principles.
- DPF-gecertificeerde organisatie staat op publieke lijst (dataprivacyframework.gov).
- Aanvullende waarborgen: Data Protection Review Court, redress mechanism.
Praktijk 2026: Microsoft, Google, Amazon, Meta, Salesforce zijn gecertificeerd. Doorgifte naar deze organisaties is toegestaan zonder SCC’s.
Risico: Max Schrems heeft “Schrems III” aangekondigd — DPF kan opnieuw vernietigd worden door HvJ EU.
4. Standard Contractual Clauses (SCC’s) 2021
Modelclausules art. 46 lid 2 sub c, herzien juni 2021. Vier modules:
- Module 1: Verantwoordelijke → Verantwoordelijke.
- Module 2: Verantwoordelijke → Verwerker.
- Module 3: Verwerker → Verwerker.
- Module 4: Verwerker → Verantwoordelijke.
Verplicht bij doorgifte naar landen zonder adequaatheid waar geen DPF geldt. Niet wijzigen — alleen aanvullen via bijlagen.
5. Transfer Impact Assessment (TIA)
Verplicht sinds Schrems II ongeacht SCC’s of DPF. De EDPB Recommendations 01/2020 vereisen:
- Identificeer doorgifte (welke gegevens, ontvanger, doel).
- Beoordeel rechtsstelsel ontvanger (toegang autoriteiten).
- Toets aan EU-grondrechten (Charter, art. 7, 8, 47).
- Aanvullende maatregelen indien onvoldoende.
- Documenteer beoordeling.
| Land | TIA-risico | Mitigaties |
|---|---|---|
| VS (geen DPF) | Hoog (FISA 702) | Encryptie, pseudonimisering |
| VS (DPF) | Laag-middel | DPF-status verifiëren |
| China | Zeer hoog | Vermijden of strikt encrypted |
| India | Hoog | Aanvullende contractuele waarborgen |
| Brazilië | Middel (LGPD) | SCC + TIA, lichte mitigaties |
| Australië | Middel-laag | SCC voldoende |
| VK | Geen (adequaat) | — |
6. Bindende bedrijfsvoorschriften (BCR’s, art. 47)
Voor multinationale concerns: interne regels goedgekeurd door AP (leidende DPA). Procedure 12-24 maanden, kostenintensief (>100 K EUR). Geschikt voor grote concerns met intensieve intra-group doorgifte. Voorbeelden BCR-bedrijven: Philips, AkzoNobel, ING Group.
7. Uitzonderingen voor specifieke situaties (art. 49)
Beperkte gevallen waar doorgifte zonder waarborgen mag:
- Uitdrukkelijke toestemming (na informatie over risico’s).
- Noodzakelijk voor uitvoering overeenkomst met betrokkene.
- Noodzakelijk voor sluiten/uitvoering overeenkomst in belang betrokkene.
- Belangrijke redenen openbaar belang.
- Rechtsvordering instellen, uitoefenen of verdedigen.
- Vitaal belang.
- Openbaar register (binnen wettelijke beperkingen).
EDPB Guidelines 2/2018: uitzonderingen strikt interpreteren, alleen incidentele doorgifte.
8. Uber-boete 290 M EUR (2024): casestudy
Uber gaf systematisch chauffeursgegevens (Europese chauffeurs) door aan Amerikaanse servers tussen 2020 en 2022 zonder SCC’s, geen DPF (bestond nog niet), geen art. 49-uitzondering. AP-boete: 290 M EUR. Beroep loopt.
Lessen:
- Doorgifte vereist proactieve grondslag.
- Schrems II-implicaties moeten direct geadresseerd.
- Geen “wij wisten het niet”-verdediging.
- Boete = +/- 1% jaaromzet Uber (binnen 4% max).
9. Aanvullende technische maatregelen
EDPB Recommendations 01/2020 voorbeelden:
- Sterke encryptie met sleutels alleen in EU: zeer effectief.
- Pseudonimisering met re-identificatie alleen in EU: effectief.
- Multi-party computation: technisch complex maar mogelijk.
- Split processing: gegevens nooit samen in derde land.
Niet effectief volgens EDPB (alleen): contractuele verklaringen, transparantierapporten, audit-rechten.
10. Praktische verwerker-relaties
Vrijwel elke organisatie met VS-cloudleveranciers krijgt hiermee te maken — webshops bijvoorbeeld via hun PSP, e-mailmarketingtool en fulfilmentpartners. Veelvoorkomende doorgiftes en oplossing:
| Leverancier | Status | Oplossing |
|---|---|---|
| Microsoft 365 | VS, DPF-gecertif. | DPF + SCC reserve |
| Google Workspace | VS, DPF-gecertif. | DPF + SCC reserve |
| AWS | VS, DPF-gecertif. | DPF + EU-only mogelijk |
| Salesforce | VS, DPF-gecertif. | DPF + SCC reserve |
| Slack | VS, DPF-gecertif. | DPF |
| Zoom | VS, DPF-gecertif. | DPF + EU-only optie |
| Notion | VS, geen DPF | SCC + TIA + mitigatie |
| OpenAI | VS, geen DPF | SCC + TIA + zero retention |
| Hubspot | VS, DPF-gecertif. | DPF |
11. Informatieplicht (art. 13 lid 1 sub f)
Privacyverklaring moet specifiek vermelden:
- Voornemen tot doorgifte aan derde land of internationale organisatie.
- Het land of de organisatie.
- Wel/geen adequaatheidsbesluit.
- Verwijzing naar passende waarborgen + middel om kopie te verkrijgen.
Generieke vermelding “wij gebruiken cloudleveranciers” is onvoldoende.
12. Schrems II in detail
HvJ EU 16 juli 2020 (C-311/18, Data Protection Commissioner v Facebook Ireland):
- Privacy Shield vernietigd wegens FISA 702 en EO 12333 (massasurveillance NSA).
- SCC’s behouden geldigheid maar exporteur en importeur moeten beoordelen of niveau in derde land voldoende is.
- Aanvullende maatregelen verplicht bij ontoereikend rechtsstelsel.
- Toezichthouders moeten doorgifte schorsen bij ontoereikend niveau.
EDPB Recommendations 01/2020 (definitief juni 2021) operationaliseren dit met zes-stappenproces voor TIA. Voor Nederland: AP heeft hieruit als eerste DPA boete opgelegd (Uber 290 M EUR). Zie AVG Art. 5 beginselen voor het rechtmatigheidsbeginsel waaronder doorgifte valt.
13. Schrems III: status en risico
Max Schrems heeft via NOYB in 2024 klachten ingediend bij meerdere DPA’s over DPF-deficienties. Centrale punten:
- Data Protection Review Court geen onafhankelijke rechter (executive-instantie).
- Geen individueel verhaal voor EU-burgers.
- Executive Order 14086 herroepbaar door volgende administratie.
Verwachte route: Ierse High Court → HvJ EU. Tijdpad: vermoedelijk 2027-2028 voor uitspraak. Bedrijven moeten contingency plannen: SCC’s + TIA als reserve.
14. Handhaving en sancties
Schending art. 44-49 valt onder art. 83 lid 5: tot 20 M EUR of 4% wereldwijde omzet (hoogste). DPA’s prioriteren doorgifte-overtredingen sinds Schrems II. Bekende boetes:
- Uber 290 M EUR (NL 2024).
- Meta 1,2 miljard EUR (Ierland 2023).
- WhatsApp 225 M EUR (Ierland 2021, inclusief doorgifte).
- Clearview AI 30,5 M EUR (NL 2023).
FAQ
Mag ik Google Workspace gebruiken in EU?
Ja. Google is sinds september 2023 DPF-gecertificeerd. Doorgifte VS heeft daarmee grondslag. Aanbevolen aanvullend: data residency EU configureren waar mogelijk, SCC’s contractueel achter de hand.
Wat is een Transfer Impact Assessment?
Verplichte beoordeling sinds Schrems II of doorgifte naar derde land voldoende beschermd is, zelfs met SCC’s of DPF. Analyseer rechtsstelsel ontvanger, risico’s, aanvullende maatregelen. Documenteer.
Is het VK een derde land?
Ja sinds Brexit (1 januari 2021), maar Europese Commissie heeft adequaatheidsbesluit verleend (28 juni 2021). Doorgifte naar VK is dus toegestaan zonder aanvullende waarborgen.
Wat als DPF wordt vernietigd?
Bij vernietiging “Schrems III” terugvallen op SCC’s + TIA + aanvullende maatregelen. Bedrijven met VS-leveranciers moeten contingency-plan klaar hebben (SCC reserve, alternatieve EU-leverancier).
Mag ik mijn klantgegevens in een VS-datacentrum opslaan?
Mag, mits VS-leverancier DPF-gecertificeerd is OF SCC’s gesloten + TIA + aanvullende maatregelen. Informatieplicht in privacyverklaring. Voor bijzondere gegevens (gezondheid): verhoogde zorgvuldigheid, vaak EU-only aanbevolen.
Wat is het verschil tussen art. 46 en art. 49?
Art. 46 (passende waarborgen) is structureel: SCC’s, BCR’s, gedragscodes. Toepasbaar op herhalende doorgiftes. Art. 49 (uitzonderingen) is incidenteel: noodzaak overeenkomst, expliciete toestemming, rechtsvordering. EDPB Guidelines 2/2018 stellen dat art. 49 niet voor reguliere bulkdoorgifte gebruikt mag worden — slechts in uitzonderlijke gevallen.
Hoe weet ik of mijn leverancier DPF-gecertificeerd is?
Check dataprivacyframework.gov, sectie “Participant Search”. Verifieer ook scope van certificering (HR-data vs. niet-HR-data is aparte certificering). Vraag schriftelijke bevestiging in DPA. Bij hercertificering jaarlijks: monitor zelf of in Verwerkersovereenkomst template een actieve-status-clausule opnemen.
Welke aanvullende maatregelen tellen volgens EDPB?
Alleen technische maatregelen worden als “effectief” erkend: sterke encryptie waarbij sleutels uitsluitend in EU blijven, pseudonimisering waarbij re-identificatie alleen in EU mogelijk is, en split processing. Contractuele clausules en transparantierapporten zijn op zichzelf onvoldoende. Voor AVG Art. 32 beveiliging geldt parallel: encryptie at-rest en in-transit met AES-256/TLS 1.3.
Zie ook: AVG in transport en logistiek en AVG voor woningcorporaties.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial