Internationale privacyregels zijn het netwerk van nationale en supra-nationale wetten dat de verwerking van persoonsgegevens reguleert. Bij Musch Legal zien wij dat bedrijven die internationaal actief zijn met meerdere regimes tegelijk moeten omgaan: AVG in EU, UK GDPR in VK, CCPA in Californië, PIPL in China, LGPD in Brazilië. Een gestructureerde compliance-aanpak voorkomt boetes tot meerdere procenten van wereldwijde omzet.
Wat is het juridische probleem? (Welke privacyregels gelden tegelijk?)
Voor internationale activiteiten gelden meerdere privacyregimes tegelijk. AVG geldt wereldwijd voor verwerking van EU-betrokkenen onder artikel 3 (extraterritoriale werking). UK GDPR voor VK-betrokkenen. CCPA voor Californische consumenten. PIPL voor Chinese betrokkenen. Verschillen tussen regimes: legal basis, betrokkenenrechten, datatransferregels, handhaving. Zonder gestructureerde aanpak ontstaan compliance-gaten en boetes.
Wat zegt de wet? (Welke kaders zijn relevant?)
AVG (Verordening (EU) 2016/679) regelt verwerking persoonsgegevens in EU met extraterritoriale werking onder artikel 3. UK GDPR onder Data Protection Act 2018. California Consumer Privacy Act (CCPA, 2018) en California Privacy Rights Act (CPRA, 2020). China Personal Information Protection Law (PIPL, 2021). Brazil Lei Geral de Proteção de Dados (LGPD, 2018). Voor datatransfer buiten EU SCC's onder Uitvoeringsbesluit (EU) 2021/914.
ePrivacy Richtlijn (2002/58/EG) regelt cookies en directe marketing in EU.
Regime
Reikwijdte
Maximum boete
AVG (EU)
EU-betrokkenen wereldwijd
4% wereldwijde omzet
UK GDPR
VK-betrokkenen
4% wereldwijde omzet
CCPA/CPRA
Californische consumenten
7.500 USD per overtreding
PIPL (China)
Chinese betrokkenen + verwerkers in China
5% omzet
LGPD (Brazilië)
Braziliaanse betrokkenen
2% Braziliaanse omzet, max 50M BRL
Regime
Reikwijdte
Maximum boete
AVG (EU)
EU-betrokkenen wereldwijd
4% wereldwijde omzet
UK GDPR
VK-betrokkenen
4% wereldwijde omzet
CCPA/CPRA
Californische consumenten
7.500 USD per overtreding
PIPL (China)
Chinese betrokkenen + verwerkers in China
5% omzet
LGPD (Brazilië)
Braziliaanse betrokkenen
2% Braziliaanse omzet, max 50M BRL
Welke risico's lopen bedrijven? (Wat dreigt bij niet-naleving?)
AVG-boetes zijn meerdere malen miljoenen euros geweest. CPRA-handhaving door California Privacy Protection Agency. PIPL-boetes door Cyberspace Administration of China kunnen ondernemingen volledig uitsluiten van Chinese markt. LGPD-handhaving door ANPD. Reputatieschade bij datalek raakt klanten en aandeelhouders. Bestuurdersaansprakelijkheid bij gebrekkig toezicht. Verlies van verzekeringsdekking bij cyber-incidenten.
Praktisch voorbeeld uit onze praktijk (Hoe coordineerden wij multi-jurisdictie privacy?)
Musch Legal begeleidde een Nederlandse SaaS-onderneming met klanten in EU, VK, VS en China. Wij implementeerden gelaagd privacyframework: AVG-conforme basis met aanvullende UK GDPR-bepalingen, CCPA-rechten voor Californische klanten, en PIPL-conforme datalokalisatie voor Chinese gebruikers. SCC's onder Uitvoeringsbesluit 2021/914 voor EU-data buiten EER, TIA's per ontvanger. Total compliance-investering 75.000 euro versus geschatte 500.000 euro bij latere correcties of boetes.
Wat kunt u doen? (Welk privacyframework bouwt u?)
Inventariseer persoonsgegevensverwerking per jurisdictie. Bouw AVG als basis met aanvullende modules voor UK GDPR, CCPA, PIPL, LGPD. Implementeer DPA's met SCC's voor datatransfer onder Uitvoeringsbesluit 2021/914. Stel Functionaris Gegevensbescherming aan onder artikel 37 AVG. Voer Transfer Impact Assessments uit voor non-EER. Train medewerkers periodiek. Schakel Musch Legal in voor internationaal privacy-pakket.
AVG en internationale datadoorgifte