Internationale datadoorgifte onder AVG is het overdragen van persoonsgegevens van EU naar buiten de EER. Bij Musch Legal implementeren wij wekelijks SCC's en Data Privacy Framework-keuzes voor cliënten met Amerikaanse leveranciers of Aziatische kantoren. Sinds Schrems II (HvJ EU 2020) is internationale doorgifte juridisch fundamenteel veranderd — een Transfer Impact Assessment is verplicht en complex.
Wat is het juridische probleem? (Waarom is doorgifte zo strikt?)
AVG verbiedt onder artikel 44 in principe doorgifte van persoonsgegevens buiten de EER tenzij adequate bescherming gewaarborgd is. Sinds Schrems II-arrest is duidelijk dat alleen SCC's niet voldoende zijn — Transfer Impact Assessment vereist plus aanvullende waarborgen indien nodig. Voor Amerikaanse partijen geldt sinds 2023 Data Privacy Framework als alternatief. Voor andere derde landen vaak geen adequaatheid.
Wat zegt de wet? (Welke instrumenten zijn er?)
AVG hoofdstuk V (artikelen 44-49) regelt doorgifte. Artikel 45 adequaatheidsbesluiten EC voor landen met passend beschermingsniveau (waaronder VK, Zwitserland, Japan, Zuid-Korea, sinds 2023 ook VS via DPF). Artikel 46 passende waarborgen: SCC's onder Uitvoeringsbesluit (EU) 2021/914 (vervangt oude 2010-versies), Binding Corporate Rules (BCR), gedragscodes. Artikel 49 uitzonderingen (incidentele doorgifte).
Schrems II-arrest (HvJ EU 16 juli 2020, C-311/18) verlangt Transfer Impact Assessment plus eventuele aanvullende waarborgen.
Land/regio
Doorgifte-grondslag
Aandachtspunt
VK
Adequaatheidsbesluit tot 2027
UK GDPR ook van toepassing
VS (DPF gecertificeerd)
Data Privacy Framework + Executive Order 14086
Alleen voor DPF-deelnemers
VS (overig)
SCC's + TIA + aanvullende waarborgen
Schrems II-conform
China
SCC's + Chinese PIPL-compliance
CAC security assessment
Zwitserland
Adequaatheidsbesluit
Aparte Zwitserse data protection wet
Land/regio
Doorgifte-grondslag
Aandachtspunt
VK
Adequaatheidsbesluit tot 2027
UK GDPR ook van toepassing
VS (DPF gecertificeerd)
Data Privacy Framework + Executive Order 14086
Alleen voor DPF-deelnemers
VS (overig)
SCC's + TIA + aanvullende waarborgen
Schrems II-conform
China
SCC's + Chinese PIPL-compliance
CAC security assessment
Zwitserland
Adequaatheidsbesluit
Aparte Zwitserse data protection wet
Welke risico's lopen bedrijven? (Wat dreigt bij niet-naleving?)
AVG-boetes tot 4 procent wereldwijde omzet onder artikel 83 AVG. Toezichthouders (in Nederland AP) hebben datatransfer als hoge prioriteit. Reputatieschade bij geconstateerde overtredingen. Operationele disruptie bij verbod op doorgifte (bijvoorbeeld geen toegang tot Amerikaanse SaaS-tools). Bij klantcontract: indemnity-claims. Bij interne audit of M&A: aanzienlijke remediation-kosten.
Praktisch voorbeeld uit onze praktijk (Hoe regelden wij US-cloud-doorgifte?)
Musch Legal begeleidde Nederlandse fintech met cloud-infrastructuur bij AWS US-East. Onder Schrems II onvoldoende SCC's. Wij beoordeelden DPF-certificering AWS, voerden Transfer Impact Assessment uit, implementeerden encryption-at-rest en in-transit als aanvullende technische waarborg en sloten DPA met AWS onder nieuwe SCC's plus DPF-grondslag. Compliance-status bevestigd door AP-audit. Operationele continuiteit gewaarborgd zonder cloud-migratie.
Wat kunt u doen? (Welke stappen zet u?)
Inventariseer alle internationale datatransfers (data mapping). Beoordeel grondslag per ontvanger: adequaatheidsbesluit, SCC's, DPF, of artikel 49 uitzondering. Voer Transfer Impact Assessment uit voor non-adequaatheidslanden. Implementeer SCC's onder Uitvoeringsbesluit 2021/914 met DPA. Voeg technische waarborgen toe (encryption, pseudonymisering). Documenteer alles voor AP-toezicht. Schakel Musch Legal in voor TIA-pakket.
Internationale privacyregels voor bedrijven