Uitleg & toegankelijkheid
Begrippenlijst
Doorgiften naar derde landen zitten vol juridische termen. Hieronder staat elk begrip in gewone taal uitgelegd, met de bron erbij. Bedoeld voor iedereen die meekijkt, ook als de AVG nog nieuw voor je is.
- Aanvullende maatregelen
Extra technische, contractuele of organisatorische maatregelen bovenop het doorgifte-instrument, vereist waar het recht van het derde land de waarborgen ondermijnt (Schrems II). Alleen maatregelen die de toegang feitelijk effectief beletten, tellen echt door.
De EDPB onderscheidt drie soorten: technisch (sterke encryptie met sleutels in de EER, robuuste pseudonimisering, data-minimalisatie, split- of multi-party-processing), contractueel (meldplicht, plicht verzoeken aan te vechten, transparantie) en organisatorisch (beleid voor overheidsverzoeken, toegangsbeheer). Technische maatregelen zijn doorgaans doorslaggevend; contractuele en organisatorische ondersteunen, maar stoppen een wettelijk bevel zelden alleen.
De maatstaf is effectiviteit, niet de papieren aanwezigheid: het gaat erom of de maatregel de bevoegde autoriteit de effectieve toegang ontneemt. Naast de EDPB bieden ook bronnen als ENISA praktische technische handvatten.
Zie ook: Encryptie (versleuteling), Pseudonimisering, Sleutelbeheer, Passende waarborgen (art. 46)
- Adequaatheidsbesluit
Een besluit van de Europese Commissie dat een derde land een beschermingsniveau biedt dat in grote lijnen gelijkwaardig is aan dat van de EU. Naar zo'n land mag worden doorgegeven zonder aanvullend instrument.
Zie ook: Data Privacy Framework (DPF), Derde land
- Afwijkingen (art. 49)
Uitzonderingen die een doorgifte in specifieke situaties toestaan zonder adequaatheidsbesluit of passende waarborgen, bijvoorbeeld met uitdrukkelijke toestemming. Bedoeld voor incidentele gevallen, niet voor structurele doorgiften.
Zie ook: Passende waarborgen (art. 46)
- Anonieme gegevens (relatieve benadering)
Gegevens die niet (meer) met redelijkerwijs in te zetten middelen tot een persoon te herleiden zijn. Anonieme gegevens vallen buiten de AVG (overweging 26).
Lang gold dat 'anoniem' alleen telde als heridentificatie permanent en voor iederéén onmogelijk was. Het Hof van Justitie kiest nu de relatieve benadering: of gegevens persoonsgegevens zijn, hangt af van de concrete ontvanger en de middelen die hij redelijkerwijs kan inzetten. Het gaat om identificeerbaarheid in brede zin, niet om de aanwezigheid van namen: ook iemand eruit lichten (singling out), koppelen aan andere gegevens of afleiden uit de context telt mee (overweging 26 AVG; WP29 Opinion 05/2014; Breyer C-582/14; EDPS/SRB C-413/23 P).
Voor doorgiften betekent dit: pseudonimiseer je zó dat de ontvanger met geen enkel redelijk middel (technisch, organisatorisch én juridisch) tot een persoon kan komen, ook niet via singling out, koppeling of afleiding, dan zijn de gegevens in zíjn handen anoniem, terwijl ze voor jou persoonsgegevens blijven. Dat kan het risico op betekenisvolle overheidstoegang bij de importeur sterk verkleinen. Leg vast welke kenmerken je hebt verwijderd of versluierd, en herzie dat oordeel als techniek of context verandert.
Zie ook: Persoonsgegevens, Pseudonimisering
- Art. 3(2) AVG
De bepaling die de AVG ook van toepassing maakt op organisaties buiten de EER, als zij goederen of diensten aanbieden aan mensen in de EER of hun gedrag monitoren.
Zie ook: Derde land
- Bijzondere categorieën (art. 9)
Extra gevoelige persoonsgegevens, zoals gegevens over gezondheid, ras of etnische afkomst, religie, politieke opvattingen of seksuele gerichtheid. Verwerking is in beginsel verboden, tenzij een uitzondering geldt.
Zie ook: Persoonsgegevens
- Binding corporate rules (BCR's)
Interne, door een toezichthouder goedgekeurde gedragsregels waarmee een concern persoonsgegevens binnen de eigen groep naar derde landen mag doorgeven.
Zie ook: Passende waarborgen (art. 46)
- CLOUD Act
Een Amerikaanse wet die toegang geeft tot gegevens die onder controle staan van een Amerikaanse aanbieder, ongeacht waar die gegevens zijn opgeslagen. Dus ook voor data die in de EER staat.
Zie ook: FISA Section 702
- Data Privacy Framework (DPF)
Het EU-US Data Privacy Framework: het adequaatheidskader voor doorgiften naar de VS. Het dekt alleen importeurs die zich zelf actief hebben gecertificeerd voor de betrokken datacategorieën.
Zie ook: Adequaatheidsbesluit
- Data Transfer Impact Assessment (DTIA)
De beoordeling of een doorgifte van persoonsgegevens naar een derde land, gelet op het recht en de praktijk daar, in de praktijk een gelijkwaardig beschermingsniveau houdt. Verplicht sinds het Schrems II-arrest. Soms kortweg TIA genoemd; wij schrijven DTIA omdat het specifiek om een datadoorgifte gaat.
Zie ook: Schrems II, European Essential Guarantees (EUEG), DPIA
- Derde land
Een land buiten de Europese Economische Ruimte (EER). Voor doorgiften naar een derde land gelden de extra eisen van hoofdstuk V AVG.
Zie ook: Europese Economische Ruimte (EER), Doorgifte, Adequaatheidsbesluit
- Doorgifte
Het beschikbaar maken van persoonsgegevens aan een ontvanger in een land buiten de EER. Ook inzage of toegang op afstand vanuit een derde land telt al als doorgifte, ook als de gegevens fysiek in de EER blijven staan.
Zie ook: Derde land, Passende waarborgen (art. 46)
- DPIA
Gegevensbeschermingseffectbeoordeling: een bredere risicobeoordeling van een verwerking zelf (art. 35 AVG). Een DTIA gaat specifiek over de doorgifte; de twee vullen elkaar aan.
- Electronic communication service provider (ECSP)
Een aanbieder van elektronische communicatiediensten, waaronder cloud-, hosting- en communicatiediensten. FISA Section 702 richt zich op deze categorie aanbieders.
Zie ook: FISA Section 702
- Encryptie (versleuteling)
Het onleesbaar maken van gegevens met een sleutel, zodat alleen wie de sleutel heeft ze kan lezen. Als aanvullende maatregel bij een doorgifte werkt encryptie alleen écht als de sleutel buiten het bereik van de importeur en de buitenlandse autoriteiten blijft.
Encryptie 'in transit' beschermt gegevens onderweg; encryptie 'at rest' beschermt opgeslagen gegevens. Voor een doorgifte naar een derde land is de kernvraag wie de sleutel beheert: liggen de sleutels uitsluitend bij de exporteur of een EER-partij, dan kan de importeur bij een overheidsbevel geen leesbare gegevens verstrekken. In de EDPB-use-cases is dit een van de weinige maatregelen die de toegang feitelijk wegneemt.
Zie ook: Sleutelbeheer, Pseudonimisering, Aanvullende maatregelen
- European Essential Guarantees (EUEG)
Vier minimumwaarborgen waaraan surveillance door een derde land moet voldoen, wil overheidstoegang verenigbaar zijn met de EU-grondrechten. De maatstaf voor stap 3 van de DTIA.
- Europese Economische Ruimte (EER)
De EU-lidstaten plus IJsland, Liechtenstein en Noorwegen. Binnen de EER geldt de AVG en mogen persoonsgegevens vrij stromen, zonder doorgifte-instrument.
Zie ook: Derde land
- FISA Section 702
Een Amerikaanse surveillancebevoegdheid die gerichte verzameling van communicatiegegevens bij aanbieders van elektronische communicatiediensten toestaat. Direct relevant voor cloud- en communicatie-importeurs.
Zie ook: Electronic communication service provider (ECSP), CLOUD Act
- Modelcontractbepalingen (SCC's)
Door de Europese Commissie vastgestelde standaardclausules tussen exporteur en importeur. Het meest gebruikte instrument voor doorgiften naar derde landen zonder adequaatheidsbesluit.
Zie ook: Passende waarborgen (art. 46), SCC-module
- Passende waarborgen (art. 46)
Instrumenten die een doorgifte naar een derde land zónder adequaatheidsbesluit toch rechtmatig maken, zoals modelcontractbepalingen (SCC's) of binding corporate rules (BCR's).
Zie ook: Modelcontractbepalingen (SCC's), Binding corporate rules (BCR's), Afwijkingen (art. 49)
- Persoonsgegevens
Elke informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Niet alleen naam of e-mail, maar ook indirecte gegevens zoals een IP-adres, cookie-ID of klantnummer.
Zie ook: Bijzondere categorieën (art. 9), Anonieme gegevens (relatieve benadering)
- Pseudonimisering
Het vervangen van directe identifiers door pseudoniemen, waarbij de sleutel om ze te herleiden apart en beschermd wordt bewaard (art. 4(5) AVG). Een veelgebruikte aanvullende maatregel bij doorgiften.
Pseudonieme gegevens blijven persoonsgegevens voor wie de sleutel, of een andere weg terug, heeft. Maar sinds HvJ EU C-413/23 P (EDPS/SRB, 2025) geldt de relatieve benadering: voor een ontvanger die de gegevens met geen enkel redelijk middel kan heridentificeren, kunnen ze in zíjn handen anoniem zijn. Houd je de sleutel in de EER en kan de importeur niet terug naar de persoon, dan is wat hij ontvangt voor hem feitelijk anoniem, terwijl het voor jou persoonsgegevens blijft.
Goed uitgevoerde pseudonimisering scheidt de sleutel technisch en organisatorisch van de gegevens en beperkt wie erbij kan. ENISA beschrijft bruikbare technieken (sleutelgebaseerde hashing, tokenisatie, versleuteling van identifiers) en de bijbehorende valkuilen.
Zie ook: Persoonsgegevens, Anonieme gegevens (relatieve benadering), Encryptie (versleuteling), Sleutelbeheer, Aanvullende maatregelen
- SCC-module
De 2021-SCC's kennen vier modules, afhankelijk van de rollen van exporteur en importeur (verantwoordelijke of verwerker). De juiste module volgt uit die rolcombinatie; de tool leidt hem automatisch af.
Zie ook: Modelcontractbepalingen (SCC's), Verwerkingsverantwoordelijke, Verwerker
- Schrems II
Het arrest van het Hof van Justitie (2020) dat het Privacy Shield ongeldig verklaarde en eiste dat je per doorgifte beoordeelt of het derde land voldoende bescherming biedt. De aanleiding voor de DTIA-plicht.
Zie ook: Data Transfer Impact Assessment (DTIA), European Essential Guarantees (EUEG)
- Sleutelbeheer
Wie de encryptiesleutels beheert en waar die liggen. Dit bepaalt of encryptie een doorgifte echt beschermt: blijven de sleutels bij de exporteur of een EER-derde, dan kan de importeur niet worden gedwongen leesbare gegevens te geven.
- Sub-verwerker
Een partij die de verwerker inschakelt om een deel van de verwerking uit te voeren, bijvoorbeeld de onderliggende hostingpartij. De verwerker blijft tegenover de verantwoordelijke aanspreekbaar op wat de sub-verwerker doet.
Zie ook: Verwerker
- Verantwoordingsplicht (accountability)
De plicht om de AVG niet alleen na te leven, maar dat ook te kúnnen aantonen met documentatie. Een DTIA-dossier is daar een voorbeeld van.
- Verwerker
De partij die persoonsgegevens uitsluitend in opdracht van en volgens de instructies van de verwerkingsverantwoordelijke verwerkt, zonder eigen zeggenschap over het doel. Denk aan een clouddienst of SaaS-leverancier.
Gebruikt een dienstverlener de gegevens óók voor eigen doeleinden, dan wordt hij voor dat deel zelf (mede)verantwoordelijke.
Zie ook: Verwerkingsverantwoordelijke, Sub-verwerker
- Verwerkingsverantwoordelijke
De partij die bepaalt waaróm en in grote lijnen hóe persoonsgegevens worden verwerkt. Wie het doel van de verwerking vaststelt, is verwerkingsverantwoordelijke.
Het draait om zeggenschap, niet om wie de gegevens feitelijk aanraakt. Een organisatie die zelf beslist welke gegevens waarvoor worden gebruikt, is verantwoordelijke, ook als zij het uitvoerende werk uitbesteedt.
Zie ook: Verwerker, Persoonsgegevens
Deze uitleg is bedoeld als toegankelijke toelichting, niet als juridisch advies. De volledige beoordeling van jouw situatie loopt via de assessment.