Veel organisaties gebruiken Amerikaanse (sub)verwerkers voor cloudhosting, HR-software, marketing tooling en security-monitoring. Zodra daarbij persoonsgegevens de Europees Econimische Ruimte (“EER”) verlaten - of vanuit een derde land feitelijk toegankelijk zijn (bijvoorbeeld voor remote support) - kom je in het regime van internationale doorgiften. Tot en met 2023 betekende data transfer naar de “VS” in veel dossiers: Standard Contractual Clauses (SCC’s), een Transfer Impact Assessment (TIA) en soms aanvullende maatregelen. Sinds 10 juli 2023 bestaat er nog een adequaatheidsroute: het EU-VS Data Privacy Framework (DPF). Hieronder het juridische kader én de praktische borging voor de FG.¹

Wanneer is er sprake van een data transfer onder de AVG?

Hoofdstuk V van de Algemene Verordening Gegevensbescherming (“AVG”) gaat over “doorgifte aan derde landen of internationale organisaties”. Het vertrekpunt is simpel: een internationale doorgifte mag de bescherming van betrokkenen niet ondermijnen. Daarom kent de AVG een gelaagde set instrumenten. Bij een adequaatheidsbesluit (art. 45) heeft de Europese Commissie besloten dat het derde land of de internationale organisatie in kwestie een passend beschermingsniveau waarborgt.² Zonder adequaatheidsbesluit kun je doorgiften rechtvaardigen via “passende waarborgen” (art. 46), zoals SCC’s of Binding Corporate Rules. Ten slotte zou je ook kunnen terugvallen op art. 49, maar dit is alleen in de uitzonderingsgevallen zoals genoemd in lid 1 van dit artikel.²

In de praktijk is de discussie zelden puur geografisch (“staat de server in de VS?”). Ook toegang op afstand, centrale beheertools of incidentrespons buiten de EER kan betekenen dat persoonsgegevens worden “doorgegeven” aan een derde land. De kernvraag is daarom: waar kan de data naartoe, wie kan erbij, en onder welk doorgiftemechanisme valt die stroom?

Schrems II: waarom SCC’s vaak een TIA veronderstellen

In Schrems II verklaarde het Hof van Justitie het EU-VS Privacy Shield ongeldig en benadrukte het dat SCC’s weliswaar geldig kunnen zijn, maar niet automatisch volstaan. De dataexporteur moet vooraf toetsen of het recht en de praktijk van het derde land de effectiviteit van de SCC-bescherming ondermijnen. Als dat risico bestaat, moeten aanvullende maatregelen worden overwogen; lukt het niet om een “essentially equivalent” beschermingsniveau te bereiken, dan moet de doorgifte worden opgeschort of beëindigd.³ Dit vormt de juridische grondslag voor wat organisaties doorgaans een Transfer Impact Assessment “TIA” noemen: een gedocumenteerde, casuïstische beoordeling die hoort bij doorgiften op basis van passende waarborgen. De EDPB heeft die aanpak uitgewerkt in Recommendations 01/2020, inclusief een stappenplan en voorbeelden van aanvullende maatregelen.⁴

Wat is het EU-VS Data Privacy Framework (DPF)?

Het DPF is de opvolger van eerdere mechanismen voor EU-VS gegevensdoorgiften (Safe Harbor en Privacy Shield) die door rechterlijke toetsing zijn gesneuveld. Op 10 juli 2023 heeft de Europese Commissie een adequaatheidsbesluit aangenomen voor doorgiften naar Amerikaanse organisaties die op de Data Privacy Framework List staan.¹ Het DPF werkt via zelfcertificering: organisaties committeren zich aan DPF-principes en vallen onder toezicht/handhaving (met name via de Federal Trade Commission of het Department of Transportation).⁵ Daar valt natuurlijk het een en ander op af te dingen, maar we moeten het daar mee doen. De EDPB heeft toegelicht dat transfers naar DPF-listed organisaties vanaf 10 juli 2023 op het adequaatheidsbesluit kunnen worden gebaseerd, zonder art. 46-transfer tools en zonder Schrems II-“supplementary measures”.⁶Sindsdien is het DPF verschillende keren getoetst door de Europese Commissie, de EDPB (European Data Protection Board) en de rechterlijke instanties van de EU.

DPF of SCC’s: wat betekent dit voor jouw gegevensdoorgifte?

Het praktische verschil zit in het “artikel” waarop je leunt. Valt jouw ontvanger daadwerkelijk onder het DPF, dan is de transfer gebaseerd op art. 45 (adequaatheid). Voor die specifieke transfer heb je geen SCC’s nodig en is de SCC-TIA logica van Schrems II niet aan de orde.⁶ Valt de ontvanger níet (meer) onder het DPF, dan kom je terug bij art. 46-instrumenten (SCC’s/BCR’s) en dus bij de Schrems II-assessmentvraag.³

Let op twee nuances die in de praktijk vaak misgaan. Ten eerste: DPF is strikt “entity- en scope-based”. Je mag er alleen op steunen als de juiste juridische entiteit actief gecertificeerd is én de certificering de relevante activiteiten en datatypes dekt; HR-data is daarbij een klassiek aandachtspunt.⁵ Ten tweede: de EDPB wijst erop dat het adequaatheidsbesluit ziet op transfers “from the EU/EEA”; voor scenario’s waarin een partij buiten de EU enkel onder art. 3(2) AVG valt, is dit niet automatisch “meegenomen”.⁶

Praktisch voor de FG: waar kijk je, wat leg je vast?

Start bij de officiële bron: de Data Privacy Framework List van het U.S. Department of Commerce.⁹ Zoek de leverancier op en controleer (i) dat de status “active” is, (ii) de scope van de certificering (inclusief HR-data waar relevant), en (iii) of de certificering ook de specifieke U.S. subsidiary dekt waarmee jij contracteert of waarop de dienstverlening feitelijk landt.⁵ De EDPB-FAQ benadrukt dat certificeringen periodiek worden vernieuwd; neem daarom een DPF-statuscheck op in onboarding én in renewal.⁵

Documenteer vervolgens je keuze, bijvoorbeeld in je verwerkingsregister en privacyverklaring(en). Leg bovendien in één alinea vast dat de doorgifte is gebaseerd op art. 45, zodat je kunt uitleggen waarom je geen SCC’s en geen TIA toepast voor deze stroom.⁶ Borg ten slotte een vangnet. In contract en vendor-proces is het verstandig af te spreken dat bij verlies of wijziging van DPF-status tijdig wordt overgeschakeld naar SCC’s, inclusief de bijbehorende TIA (en waar nodig aanvullende maatregelen).⁵

En kijk door de keten heen. Als jouw DPF-leverancier onward transfers doet naar partijen buiten het DPF (bijvoorbeeld subverwerkers in andere derde landen), dan kan voor dat deel alsnog een apart doorgiftemechanisme nodig zijn.⁵ DPF “lost” dus niet automatisch de hele keten op; het is vooral een sterke basis voor de initiële doorgifte van de EU naar de VS, mits de ontvanger daadwerkelijk onder het DPF valt.

Conclusie

DPF kan je dossier aanzienlijk vereenvoudigen: geen SCC’s en geen TIA-verplichting voor doorgiften die onder art. 45 vallen.¹ Maar het is geen “vrijbrief”: je moet aantoonbaar controleren dat de ontvanger actief gecertificeerd is en binnen scope valt, je keuze documenteren, en een vangnet inbouwen voor het geval de status verandert of de keten buiten het DPF doorloopt.⁵ Als je dat procesmatig verankert, kun je als FG zowel juridische zuiverheid als praktische werkbaarheid leveren.

1. Europese Commissie, Commission Implementing Decision (EU) 2023/1795 of 10 July 2023 … on the adequate level of protection of personal data under the EU-US Data Privacy Framework (adequaatheidsbesluit). (EUR-Lex) ↩ ↩² ↩³

2. Verordening (EU) 2016/679 (AVG/GDPR), met name Hoofdstuk V (art. 44–49) en art. 45/46. (EUR-Lex) ↩ ↩²

3. HvJ EU 16 juli 2020, Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems (Schrems II), zaak C-311/18, ECLI:EU:C:2020:559. (curia) ↩ ↩²

4. EDPB, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (Final, 18 juni 2021). (edpb.europa.eu) ↩

5. EDPB, EU-U.S. Data Privacy Framework F.A.Q. for European businesses – version 2.0 (23 januari 2026). (edpb.europa.eu) ↩ ↩²↩³ ↩⁴ ↩⁵ ↩⁶ ↩⁷

6. EDPB, Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023 (18 juli 2023). (edpb.europa.eu) ↩ ↩² ↩³ ↩⁴

7. Europese Commissie, Report on the first periodic review of the functioning of the adequacy decision on the EU-US Data Privacy Framework (9 oktober 2024), en EDPB, Report on the first review … (4 november 2024). (European Commission) ↩

8. Gerecht van de EU 3 september 2025, zaak T-553/23 (Latombe/Commissie), persbericht + uitspraak. (curia) ↩

9. U.S. Department of Commerce, Data Privacy Framework List (officiële DPF-lijst). (dataprivacyframework.gov) ↩