Skip to content
Hoe GDPRWise Werkt calendar_today Bijgewerkt: 7 april 2026 schedule 3 min leestijd

Wat als je Niet Weet of je Data in de EU Staat?

De GDPR vereist dat je documenteert waar persoonsgegevens worden opgeslagen. Maar wat als je dat niet zeker weet? GDPRWise helpt je om dat uit te zoeken en correct vast te leggen.

summarize Kernpunten
  • check_circle De GDPR vereist dat je documenteert of persoonsgegevens binnen of buiten de EU worden opgeslagen
  • check_circle De meeste grote softwareleveranciers publiceren hun opslaglocatie in hun privacyverklaring of DPA
  • check_circle Als gegevens buiten de EU worden verwerkt, zijn er aanvullende waarborgen nodig zoals Standard Contractual Clauses
  • check_circle GDPRWise helpt je om per derde partij vast te leggen waar de gegevens staan

Waarom de opslaglocatie ertoe doet

De GDPR (ook wel AVG genoemd) stelt strenge eisen aan de doorgifte van persoonsgegevens naar landen buiten de EU. Wanneer je een softwaretool gebruikt die gegevens opslaat op servers in de Verenigde Staten, India of een ander niet-EU land, gelden er aanvullende regels.

Dat betekent niet dat je die tools niet mag gebruiken. Maar je moet wel weten waar de gegevens staan en documenteren welke waarborgen er zijn.

Hoe achterhaal je waar je gegevens staan?

De meeste softwareleveranciers publiceren hun opslaglocatie. Hier vind je die informatie:

1. De verwerkersovereenkomst (DPA)

Als je een DPA hebt met de leverancier, staat daar vrijwel altijd in welke regio de gegevens worden verwerkt. Grote leveranciers zoals Google, Microsoft en Amazon publiceren hun DPA op hun website.

2. De privacyverklaring van de leverancier

Onder het kopje “Gegevensoverdracht” of “International data transfers” staat doorgaans vermeld of gegevens de EU verlaten en welke waarborgen er gelden.

3. Direct contact

Als je het niet kunt vinden, stuur de leverancier een e-mail met de vraag: “Worden de persoonsgegevens die wij via uw dienst verwerken opgeslagen op servers binnen de EU?” De meeste leveranciers zijn verplicht om je daar duidelijk antwoord op te geven.

Wat als gegevens buiten de EU staan?

Dat is geen probleem zolang er passende waarborgen zijn. De meest gebruikte waarborg is de Standard Contractual Clauses (SCC’s), een set standaardcontractbepalingen die door de Europese Commissie zijn goedgekeurd. Grote cloudleveranciers hebben deze al verwerkt in hun voorwaarden.

Daarnaast zijn er landen waarvoor een adequaatheidsbesluit geldt. De Europese Commissie heeft bepaald dat die landen een vergelijkbaar beschermingsniveau bieden. Gegevens naar die landen overdragen mag zonder extra waarborgen.

Vastleggen in GDPRWise

In je derdendossier kun je per partij aangeven:

  • Of de gegevens binnen of buiten de EU worden opgeslagen
  • In welk land de servers staan
  • Welke waarborg van toepassing is (SCC’s, adequaatheidsbesluit, of anders)

GDPRWise waarschuwt je als je een partij toevoegt zonder opslaglocatie, zodat je die informatie niet vergeet.

Praktische vuistregels

  • Europese leveranciers slaan gegevens meestal in de EU op, maar controleer het voor de zekerheid
  • Amerikaanse leveranciers verwerken gegevens vaak (ook) in de VS, maar bieden doorgaans SCC’s aan
  • Twijfel je? Documenteer je onzekerheid en neem contact op met de leverancier. Eerlijkheid in je dossier is altijd beter dan een aanname
auto_awesome Breng je derde partijen in kaart

GDPRWise helpt je om per leverancier vast te leggen welke gegevens je deelt, waar ze worden opgeslagen en welke waarborgen er gelden.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.