Skip to content
Beveiliging calendar_today Bijgewerkt: 7 april 2026 schedule 4 min leestijd

Lijst van Goedgekeurde Derde Landen voor Gegevensoverdracht buiten de EU

De GDPR beperkt de doorgifte van persoonsgegevens naar landen buiten de EU, tenzij er een adequaatheidsbesluit geldt. Hier vind je de actuele lijst en wat het voor je betekent.

summarize Kernpunten
  • check_circle Gegevensoverdracht naar landen met een adequaatheidsbesluit mag zonder aanvullende waarborgen
  • check_circle De Europese Commissie beoordeelt of een land een vergelijkbaar beschermingsniveau biedt
  • check_circle De Verenigde Staten hebben sinds 2023 het EU-US Data Privacy Framework, maar de houdbaarheid is onzeker
  • check_circle Naar landen zonder adequaatheidsbesluit mag je gegevens overdragen met Standard Contractual Clauses (SCC's)

Niet elk land biedt dezelfde bescherming

De GDPR verbiedt in principe de overdracht van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER), tenzij dat land een vergelijkbaar niveau van gegevensbescherming biedt. De Europese Commissie beoordeelt dit per land en geeft bij een positief oordeel een zogenaamd adequaatheidsbesluit af.

Voor jou als ondernemer is dit relevant zodra je software of diensten gebruikt van bedrijven buiten de EU.

Landen met een volledig adequaatheidsbesluit

De volgende landen en gebieden zijn door de Europese Commissie als adequaat beoordeeld (stand april 2026):

  • Andorra
  • Argentinie
  • Canada (voor commerciele organisaties onder PIPEDA)
  • Faeroer Eilanden
  • Guernsey
  • Israeel
  • Isle of Man
  • Japan
  • Jersey
  • Nieuw-Zeeland
  • Republiek Korea (Zuid-Korea)
  • Zwitserland
  • Uruguay
  • Verenigd Koninkrijk
  • Verenigde Staten (via het EU-US Data Privacy Framework, alleen voor gecertificeerde organisaties)

Naar deze landen mag je persoonsgegevens overdragen zonder aanvullende waarborgen, mits de voorwaarden van het specifieke besluit worden nageleefd.

Het EU-US Data Privacy Framework

Het adequaatheidsbesluit voor de Verenigde Staten verdient extra aandacht. Het geldt alleen voor Amerikaanse organisaties die zich actief hebben gecertificeerd via het Data Privacy Framework. Je kunt op dataprivacyframework.gov controleren of een specifiek bedrijf gecertificeerd is.

Grote techbedrijven zoals Google, Microsoft, Amazon en Meta zijn gecertificeerd. Maar niet elk Amerikaans bedrijf is dat. Controleer dit altijd voordat je aanneemt dat je gegevens veilig kunt overdragen.

Het is goed om te weten dat eerdere adequaatheidsbesluiten voor de VS (Safe Harbor en Privacy Shield) door het Europees Hof van Justitie zijn vernietigd. Het huidige framework kan hetzelfde lot treffen. Houd dit in de gaten.

Wat als een land niet op de lijst staat?

Voor landen zonder adequaatheidsbesluit heb je aanvullende waarborgen nodig:

Standard Contractual Clauses (SCC’s)

De meest gebruikte optie. Dit zijn standaardcontractbepalingen die door de Europese Commissie zijn goedgekeurd. Je sluit ze af met de partij in het derde land. De meeste grote softwareleveranciers hebben SCC’s al opgenomen in hun verwerkersovereenkomst.

Binding Corporate Rules (BCR’s)

Voor multinationale bedrijven die gegevens intern overdragen tussen vestigingen in verschillende landen. Minder relevant voor het MKB.

Expliciete toestemming

In uitzonderlijke gevallen kun je gegevens overdragen op basis van expliciete, gespecificeerde toestemming van de betrokkene. Dit is geen structurele oplossing.

Wat moet je vastleggen?

In je GDPRWise derdendossier kun je per leverancier vastleggen:

  • In welk land de gegevens worden verwerkt
  • Of er een adequaatheidsbesluit geldt
  • Welke aanvullende waarborgen je hebt getroffen (SCC’s, DPF-certificering)

Dit maakt het eenvoudig om bij een controle aan te tonen dat je doorgifte aan derde landen op orde is.

auto_awesome Leg je gegevensoverdracht vast

GDPRWise helpt je om per derde partij te documenteren waar gegevens worden verwerkt en welke waarborgen er gelden.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.