Internationale datadoorgifte onder AVG is het overdragen van persoonsgegevens van EU naar buiten de EER. Bij Musch Legal implementeren wij wekelijks SCC's en Data Privacy Framework-keuzes voor cliënten met Amerikaanse leveranciers of Aziatische kantoren. Sinds Schrems II (HvJ EU 2020) is internationale doorgifte juridisch fundamenteel veranderd — een Transfer Impact Assessment is verplicht en complex.

Wat is het juridische probleem? (Waarom is doorgifte zo strikt?)

AVG verbiedt onder artikel 44 in principe doorgifte van persoonsgegevens buiten de EER tenzij adequate bescherming gewaarborgd is. Sinds Schrems II-arrest is duidelijk dat alleen SCC's niet voldoende zijn — Transfer Impact Assessment vereist plus aanvullende waarborgen indien nodig. Voor Amerikaanse partijen geldt sinds 2023 Data Privacy Framework als alternatief. Voor andere derde landen vaak geen adequaatheid.

Wat zegt de wet? (Welke instrumenten zijn er?)

AVG hoofdstuk V (artikelen 44-49) regelt doorgifte. Artikel 45 adequaatheidsbesluiten EC voor landen met passend beschermingsniveau (waaronder VK, Zwitserland, Japan, Zuid-Korea, sinds 2023 ook VS via DPF). Artikel 46 passende waarborgen: SCC's onder Uitvoeringsbesluit (EU) 2021/914 (vervangt oude 2010-versies), Binding Corporate Rules (BCR), gedragscodes. Artikel 49 uitzonderingen (incidentele doorgifte).

Schrems II-arrest (HvJ EU 16 juli 2020, C-311/18) verlangt Transfer Impact Assessment plus eventuele aanvullende waarborgen.

Land/regio

Doorgifte-grondslag

Aandachtspunt

VK

Adequaatheidsbesluit tot 2027

UK GDPR ook van toepassing

VS (DPF gecertificeerd)

Data Privacy Framework + Executive Order 14086

Alleen voor DPF-deelnemers

VS (overig)

SCC's + TIA + aanvullende waarborgen

Schrems II-conform

China

SCC's + Chinese PIPL-compliance

CAC security assessment

Zwitserland

Adequaatheidsbesluit

Aparte Zwitserse data protection wet

Land/regio

Doorgifte-grondslag

Aandachtspunt

VK

Adequaatheidsbesluit tot 2027

UK GDPR ook van toepassing

VS (DPF gecertificeerd)

Data Privacy Framework + Executive Order 14086

Alleen voor DPF-deelnemers

VS (overig)

SCC's + TIA + aanvullende waarborgen

Schrems II-conform

China

SCC's + Chinese PIPL-compliance

CAC security assessment

Zwitserland

Adequaatheidsbesluit

Aparte Zwitserse data protection wet

Welke risico's lopen bedrijven? (Wat dreigt bij niet-naleving?)

AVG-boetes tot 4 procent wereldwijde omzet onder artikel 83 AVG. Toezichthouders (in Nederland AP) hebben datatransfer als hoge prioriteit. Reputatieschade bij geconstateerde overtredingen. Operationele disruptie bij verbod op doorgifte (bijvoorbeeld geen toegang tot Amerikaanse SaaS-tools). Bij klantcontract: indemnity-claims. Bij interne audit of M&A: aanzienlijke remediation-kosten.

Praktisch voorbeeld uit onze praktijk (Hoe regelden wij US-cloud-doorgifte?)

Musch Legal begeleidde Nederlandse fintech met cloud-infrastructuur bij AWS US-East. Onder Schrems II onvoldoende SCC's. Wij beoordeelden DPF-certificering AWS, voerden Transfer Impact Assessment uit, implementeerden encryption-at-rest en in-transit als aanvullende technische waarborg en sloten DPA met AWS onder nieuwe SCC's plus DPF-grondslag. Compliance-status bevestigd door AP-audit. Operationele continuiteit gewaarborgd zonder cloud-migratie.

Wat kunt u doen? (Welke stappen zet u?)

Inventariseer alle internationale datatransfers (data mapping). Beoordeel grondslag per ontvanger: adequaatheidsbesluit, SCC's, DPF, of artikel 49 uitzondering. Voer Transfer Impact Assessment uit voor non-adequaatheidslanden. Implementeer SCC's onder Uitvoeringsbesluit 2021/914 met DPA. Voeg technische waarborgen toe (encryption, pseudonymisering). Documenteer alles voor AP-toezicht. Schakel Musch Legal in voor TIA-pakket.

Internationale privacyregels voor bedrijven

Cybersecurity en contractuele aansprakelijkheid

IT-contracten met buitenlandse klanten