Wanneer je startup persoonsgegevens van EU-inwoners verwerkt via diensten die buiten de Europese Economische Ruimte zijn gehost — zoals Amerikaanse AI-providers, cloudplatforms of analysetools — voer je een grensoverschrijdende gegevensoverdracht uit. Onder de AVG vereist dit aanvullende juridische waarborgen om te garanderen dat de data gelijkwaardige bescherming krijgt.
Wat je moet doen:
- Controleer adequaatheid: Als het bestemmingsland een EU-adequaatheidsbesluit heeft (bijv. het EU-US Data Privacy Framework), zijn overdrachten toegestaan zonder aanvullende maatregelen. Controleer of je provider deelneemt aan het framework.
- Standard Contractual Clauses (SCC's): Voor landen zonder adequaatheid, gebruik de standaard contracttemplates van de Europese Commissie. De meeste grote cloud- en AI-providers nemen SCC's al op in hun voorwaarden — controleer hun verwerkersovereenkomst.
- Transfer Impact Assessment (TIA): Beoordeel of lokale wetgeving in het bestemmingsland de bescherming van SCC's kan ondermijnen. Documenteer je beoordeling en eventuele aanvullende maatregelen.
- Breng je datastromen in kaart: Maak een inventaris van alle diensten die persoonsgegevens verwerken en waar die data wordt opgeslagen. Dit is vaak complexer dan verwacht — subverwerkers kunnen data via meerdere landen routeren.
De Autoriteit Persoonsgegevens biedt uitgebreide richtlijnen over internationale overdrachten. Tidal Control helpt je datastromen te documenteren, SCC-compliance te volgen en je TIA te onderhouden als onderdeel van je privacymanagementsysteem.