Doorgifte van persoonsgegevens buiten de EER
Wanneer je gebruik maakt van clouddiensten of SaaS-tools van buiten de Europese Economische Ruimte (EER) — zoals Amerikaanse platforms — is er sprake van een internationale doorgifte van persoonsgegevens. De AVG stelt hier strikte eisen aan (hoofdstuk V, art. 44-49).
Waarom is doorgifte buiten de EER een risico?
De EER heeft een hoog beschermingsniveau voor persoonsgegevens. Landen buiten de EER hebben dat niet automatisch. Als je gegevens van Europese bezoekers doorstuurt naar servers in de VS, China of andere landen, moet je kunnen aantonen dat die gegevens voldoende beschermd zijn.
Geldige mechanismen voor doorgifte
1. Adequaatheidsbesluit: de EU-Commissie heeft bepaald dat het ontvangende land een vergelijkbaar beschermingsniveau heeft. Voor de VS geldt het EU-VS Data Privacy Framework (DPF, 2023). 2. Standard Contractual Clauses (SCCs): contractuele afspraken goedgekeurd door de EU-Commissie. 3. Bindende bedrijfsvoorschriften (BCRs): voor intra-concern doorgiftes. 4. Expliciete toestemming: als uitzondering voor incidentele doorgiftes.
Welke diensten vallen hieronder?
Veelgebruikte diensten die gegevens buiten de EER kunnen doorgeven: Mailchimp (e-mailmarketing), HubSpot (CRM), Klaviyo (e-commerce e-mail), Cloudflare (CDN/beveiliging), Google Analytics, Meta Pixel en LinkedIn Insight Tag. Controleer altijd de Data Processing Agreement (DPA) van de betreffende dienst.
Wat moet je documenteren?
In je verwerkingsregister (art. 30 AVG) moet je per verwerking aangeven of er sprake is van een internationale doorgifte en welk mechanisme je gebruikt. Bewaar ook de getekende SCCs of DPA's als bewijs.
Wil je weten hoe jouw website scoort? Doe de gratis scan →