Cloudopslag is niet meer weg te denken uit ons digitale landschap. Veel organisaties slaan gegevens op via tools van Amerikaanse aanbieders zoals Microsoft, Google of Amazon. Maar mag dat zomaar als het om persoonsgegevens gaat?
Sinds het wegvallen van het Privacy Shield (2020) en het opstellen van strengere EU-regels is het antwoord: niet zonder waarborgen. Je moet als organisatie goed onderbouwen waarom je persoonsgegevens in een Amerikaanse cloud plaatst en welke maatregelen je hebt genomen om dit juridisch veilig te doen.
1️⃣ De basis: persoonsgegevens mogen de EU alleen verlaten onder voorwaarden
Volgens de AVG mogen persoonsgegevens alleen worden doorgegeven aan landen buiten de Europese Economische Ruimte (EER) als dat land:
- Een adequaatheidsbesluit heeft van de EU (zoals Japan of Zwitserland)
- Of als je zelf aanvullende maatregelen neemt die zorgen voor een gelijkwaardig beschermingsniveau
De VS heeft (sinds het schrappen van het Privacy Shield door het Hof van Justitie) geen algemeen adequaatheidsbesluit meer, maar sinds juli 2023 is er wél het EU–US Data Privacy Framework. Dat betekent: overdracht naar gecertificeerde partijen is onder voorwaarden mogelijk, maar het is géén vrijbrief.
2️⃣ Gaat het om doorgifte of alleen opslag?
De term “doorgifte” is breder dan je denkt. Volgens de Europese toezichthouders is er al sprake van doorgifte als:
- De data fysiek wordt opgeslagen op servers buiten de EU
- Of als medewerkers in de VS toegang kunnen krijgen tot data die binnen de EU is opgeslagen (bijvoorbeeld voor support)
Het maakt dus niet uit waar de data staat, maar wie erbij kan. Daarom moet je altijd kritisch kijken naar de contracten en infrastructuur van je cloudprovider.
3️⃣ Welke extra maatregelen moet je nemen?
- Standaardcontractbepalingen (SCC’s) tussen jou en de aanbieder
- Versleuteling van data tijdens opslag én overdracht
- Functioneel gescheiden toegang: Europese klanten worden bediend via een EU-team
- Duidelijk verwerkingsregister waarin de locatie en toegang tot data is vastgelegd
- Check of je leverancier is aangesloten bij het EU–US Data Privacy Framework
Let op: je moet niet alleen aantonen dat je maatregelen hebt genomen, maar ook dat ze effectief zijn.
Als je werkt met een Amerikaanse cloudleverancier, moet je onderbouwen dat de persoonsgegevens even goed beschermd zijn als binnen de EU. Denk aan:
4️⃣ Wat zeggen de toezichthouders?
De Europese toezichthouders zijn kritisch. De Autoriteit Persoonsgegevens stelt dat doorgifte naar de VS nog altijd risico’s met zich meebrengt, ook onder het nieuwe framework. Zeker wanneer het gaat om gevoelige gegevens of overheden, ligt de lat hoger.
Zorg dus dat je:
- De risico’s goed in kaart hebt gebracht (DPIA)
- De gekozen cloudpartij juridisch kunt verantwoorden
- Een alternatief achter de hand hebt bij veranderende wetgeving
✅ Conclusie: mag het?
Ja, onder voorwaarden. Je mag persoonsgegevens verwerken via een Amerikaanse cloudpartij als:
- De leverancier voldoet aan het EU–US Data Privacy Framework
- Je de juiste contractuele en technische maatregelen hebt genomen
- Je dit aantoonbaar kunt vastleggen in je verwerkingsbeleid
Geen garanties dus maar met de juiste voorbereiding is verantwoord gebruik mogelijk.
🔐 RealCob helpt je het overzicht te houden
RealCob laat precies zien welke persoonsgegevens je waar opslaat, met welke leverancier, en onder welke voorwaarden. Zo zie je in één dashboard of je voldoet aan de regels voor internationale doorgifte, inclusief meldingen als iets wijzigt in de wetgeving.