Sub-verwerkers buiten de EU: wat de Schrems-II-uitspraak nog steeds vraagt

Gebruik je AWS, Google, of Microsoft? Dan gaat een deel van je data door de US. Sinds Schrems II is dat niet zomaar meer mag. Hier wat er nu wel werkt.

Data van EU-burgers buiten de EER laten verwerken mag alleen met expliciete waarborgen. De Schrems II-uitspraak (2020) heeft de oude Privacy Shield afgeschaft.

De huidige paden

• EU-US Data Privacy Framework (2023): vervanger van Privacy Shield. Geldt voor US-leveranciers die zich onder dit framework hebben gecertificeerd.
• Standaard Contractuele Bepalingen (SCC's): Europese sjabloon-clausules tussen EU- en niet-EU-partij. Vaak in combinatie met Transfer Impact Assessment.
• Bindende Bedrijfsregels (BCR's): binnen grote concerns, niet voor typische MKB-situatie.

Microsoft, Google, AWS — hoe zit het?

• Microsoft 365: EU Data Boundary betekent dat EU-klant-data in EU blijft voor de meeste services. Microsoft heeft DPF-certificering voor waar het wel USA raakt.
• Google Workspace: vergelijkbaar — EU-data blijft in EU, DPF voor US-onderdelen.
• AWS: per regio configureerbaar. Kies EU-regio (Frankfurt, Amsterdam, Ierland). Voor managed services let op waar de control-plane zit.
• Cloudflare: data kan door global edge lopen. Business-tier heeft "EU-only" optie.

Kleinere US-SaaS (Slack, Notion, Intercom)

Meeste hebben nu DPF-certificering. Check hun DPA of trust-pagina. Voor echt gevoelige data overweeg een EU-gebaseerd alternatief.

Documenteren

In je verwerkersregister: per verwerking aangeven of data buiten EU gaat en met welke grondslag.

Zie ook: AVG-pillar, DPA's.