Zes jaar geleden, in juli, oordeelde het Europees Hof van Justitie in de zaak Schrems II (zaak C-311/18) dat persoonsgegevens die vanuit de EU naar een derde land worden geëxporteerd, "in wezen gelijkwaardige" bescherming moeten genieten — en dat organisaties die gegevens doorgeven dit zelf moeten controleren, voor elke afzonderlijke doorgifte. De Transfer Impact Assessment was een feit.
Zes jaar later blijft dit voor het MKB het meest lastige onderdeel van de naleving van de AVG in de praktijk. De meeste gegevensstromen hebben betrekking op de VS, het VK, India of Brazilië. De meeste organisaties weten niet naar welk land hun SDK voor het volgen van cookies gegevens verstuurt. En het EU-VS-kader voor gegevensbescherming – dat in 2023 is aangenomen ter vervanging van het ongeldig verklaarde Privacy Shield – wordt zelf juridisch aangevochten in Schrems III, waarbij een uitspraak van het Hof van Justitie van de Europese Unie eind 2026 of begin 2027 wordt verwacht.
Deze gids legt uit wat een Transfer Impact Assessment in 2026 daadwerkelijk van een MKB-bedrijf vereist, welke zes stappen een TIA verdedigbaar maken en hoe u deze kunt integreren in de datamap die u al bijhoudt.
Wat is een Transfer Impact Assessment?
Een Transfer Impact Assessment (TIA) is de gedocumenteerde analyse die op grond van hoofdstuk V van de AVG vereist is wanneer persoonsgegevens worden doorgegeven van de EER naar een derde land (een land buiten de EER). Het beantwoordt twee vragen:
- Wordt de doorgifte beschermd door een doorgiftemechanisme op grond van artikel 46 — standaardcontractbepalingen, bindende bedrijfsregels, een goedgekeurde gedragscode of een certificeringsregeling?
- Biedt de wetgeving van het ontvangende land bescherming die in wezen gelijkwaardig is aan de AVG — of zijn er aanvullende maatregelen (versleuteling, pseudonimisering, contractuele aanvullingen) nodig om de kloof te dichten?
De eerste vraag is contractueel van aard. De tweede is de moeilijke. Aanbeveling 01/2020 van het EDPB beschrijft de methodologie; nationale toezichthouders hebben hierop voortgebouwd met landspecifieke richtsnoeren.
Een TIA is geen eenmalige exercitie. De analyse moet opnieuw worden bekeken wanneer de wetgeving van het ontvangende land verandert (een nieuwe surveillancewet, een rechterlijke uitspraak), wanneer de overdrachtsregeling verandert (nieuwe verwerker, nieuwe subverwerker), of na een ernstig incident.
De erfenis van Schrems II: waarom TIA’s bestaan
In juli 2020 heeft het Hof van Justitie van de Europese Unie (HvJ-EU) in Schrems II het EU-VS-privacyschild ongeldig verklaard. Het Hof oordeelde dat de Amerikaanse toezichtwetgeving (FISA Section 702, Executive Order 12333) Amerikaanse inlichtingendiensten toegang gaf tot persoonsgegevens van EU-inwoners die onverenigbaar was met de beschermingsnormen van de AVG — en dat het Amerikaanse rechtssysteem geen effectieve rechtsmiddelen bood aan niet-Amerikaanse personen.
De uitspraak verklaarde niet alleen het Privacy Shield ongeldig. Zij legde ook een methodologie vast: elk overdrachtsmechanisme — SCC’s, BCR’s of wat dan ook — werkt alleen als de juridische context van het ontvangende land daadwerkelijk toestaat dat de beschermingsmaatregelen in het contract effectief zijn. Een clausule die de importeur verplicht verzoeken om toegang van buitenlandse overheden te weigeren, is zinloos als de lokale wetgeving de importeur dwingt hieraan te voldoen.
De aanbevelingen van het EDPB van januari 2020 (definitieve versie november 2020) vertaalden de uitspraak naar de zesstappenmethode voor TIA’s, die sindsdien grotendeels stabiel is gebleven. Nationale gegevensbeschermingsautoriteiten — de CNIL in Frankrijk, de AP in Nederland, de BfDI in Duitsland, de AEPD in Spanje, de ICO in het Verenigd Koninkrijk — hebben implementatierichtlijnen gepubliceerd, maar het EDPB-kader vormt de gemeenschappelijke basis.
Wanneer heeft een MKB-bedrijf een TIA nodig?
Drie triggers, allemaal routine voor elk MKB-bedrijf dat gangbare SaaS gebruikt:
- Elke verwerker in een derde land. In de VS gevestigde CRM-systemen, Amerikaanse analyseplatforms, Indiase helpdeskaanbieders, Filipijnse BPO-diensten. Als zij EU-persoonsgegevens verwerken, heeft u een TIA nodig per verwerker (of per subverwerker, in geval van een keten van doorgiften).
- Elke relatie met een verwerker die de grenzen overschrijdt. Uw in de EU gehoste SaaS maakt gebruik van een Indiase ondersteuningspartner die tickets met EU-persoonsgegevens kan inzien — dat is een doorgifte.
- Elke AI-dienst die gegevens buiten de EU verwerkt. De meeste aanbieders van grote modellen verwerken inferentie in Amerikaanse datacenters. Zelfs als in het contract staat "gehost in de EU", vraag dan waar de inferentie daadwerkelijk plaatsvindt.
Hoe zit het met adequaatheidsbesluiten? Vanaf april 2026 gelden er adequaatheidsbesluiten voor veertien rechtsgebieden: Andorra, Argentinië, Canada (commerciële organisaties), de Faeröer, Guernsey, het eiland Man, Israël, Japan, Jersey, Nieuw-Zeeland, de Republiek Korea, Zwitserland, het Verenigd Koninkrijk en Uruguay. Voor een doorgifte naar een van deze rechtsgebieden is geen volledige TIA vereist — de Europese Commissie heeft de analyse namens u uitgevoerd. U documenteert de doorgifte nog steeds in uw verwerkingsregister, maar er zijn geen aanvullende maatregelen nodig.
De VS vormen een uitzondering. Het EU-VS-kader voor gegevensbescherming (DPF) biedt adequaatheidsbescherming voor Amerikaanse organisaties die zelfcertificering toepassen. Vanaf april 2026 is dit kader nog steeds van kracht, maar wordt het aangevochten bij het Hof van Justitie van de Europese Unie (Schrems III). Veel kleine en middelgrote ondernemingen in de EU lopen vooruit op een ongeldigverklaring door overdrachten naar de VS te behandelen alsof er geen adequaatheid is — door volledige TIA’s en aanvullende maatregelen toe te passen, zelfs wanneer de ontvanger DPF-gecertificeerd is. Dit is conservatief; het is ook verdedigbaar.
De zesstappenmethode voor TIA's van het EDPB
De aanbevelingen 01/2020 van het EDPB leggen de standaard structuur vast. Elke stap vormt een paragraaf in uw TIA-document.
Stap 1: Weet wat u doorgeeft
Leg vast wie wat aan wie doorgeeft, waar en met welk doel. Zonder dit is de rest onmogelijk. Leg voor elke doorgifte het volgende vast:
- De exporteur (u, of uw verwerker)
- De importeur (de ontvangende organisatie)
- De categorieën van betrokkenen en persoonsgegevens
- Het volume en de frequentie
- Het doel
- Verdere doorgiften (subverwerkers, sub-subverwerkers)
Dit zijn precies de gegevens die uw verwerkingsregister al bevat, mits uw datamap actueel is. De AVG-gids voor datamapping behandelt de inventarisatielaag.
Stap 2: Bepaal het overdrachtsinstrument
Identificeer voor elke doorgifte het mechanisme van artikel 46: SCC's 2021, BCR's, een goedgekeurde gedragscode of een certificeringsregeling. Bij de meeste doorgiften door het MKB wordt gebruikgemaakt van SCC's (de modelcontractbepalingen van de Europese Commissie, in juni 2021 gemoderniseerd tot vier modules: C2C, C2P, P2C, P2P).
Als er geen instrument op grond van artikel 46 van toepassing is op de doorgifte, kunt u geen beroep doen op de uitzonderingen van artikel 49, behalve in strikt omschreven gevallen — uitdrukkelijke toestemming, noodzaak voor de uitvoering van een overeenkomst, belangrijke redenen van algemeen belang. Uitzonderingen op grond van artikel 49 zijn uitzonderlijk en vormen geen alternatief voor routinematige verwerking.
Stap 3: Beoordeel de wetgeving van het derde land
Maakt de wetgeving van het land van invoer het mogelijk dat de waarborgen in de SCC's effectief zijn? Dit is de zwaarste stap. U beoordeelt:
- Wetgeving inzake toezicht (heeft buitenlandse inlichtingendiensten toegang?)
- Toegangsregelingen van de overheid (bevelen, dagvaardingen, nationale veiligheidsbrieven)
- Effectieve rechtsmiddelen (kunnen betrokken EU-betrokkenen de toegang aanvechten?)
- Onafhankelijkheid van toezichthouders
Er kan worden verwezen naar landspecifieke beoordelingen die zijn gepubliceerd door brancheorganisaties, toezichthouders en advocatenkantoren. De CNIL houdt een nuttige landenrisicomatrix bij; het EDPB heeft specifieke landen — de VS onder FISA 702, China onder de Nationale Inlichtingenwet, Rusland, India onder de IT-regels — aangemerkt als landen met een hoog risico.
Stap 4: Bepaal aanvullende maatregelen
Indien de wetgeving van het derde land geen wezenlijke gelijkwaardigheid biedt, moeten aanvullende maatregelen de leemte opvullen. De aanbevelingen van het EDPB onderscheiden drie categorieën:
- Technisch — sterke versleuteling met sleutels die in de EU worden bewaard, pseudonimisering, veilige multi-party computation. Dit is de categorie die het best te verdedigen is.
- Contractueel — aanvullende clausules die de importeur verplichten om verzoeken om toegang aan te vechten, de exporteur op de hoogte te stellen en transparantierapporten te publiceren. Nuttig maar beperkt; contracten kunnen de nationale wetgeving niet terzijde schuiven.
- Organisatorisch — intern beleid inzake het reageren op verzoeken om toegang, opleiding, governance. Nuttig als bewijs van zorgvuldigheid.
De combinatie hangt af van de gegevenscategorie en het risico. Voor bijzondere persoonsgegevens die naar een verwerker in de VS worden verzonden, is end-to-end-versleuteling met in de EU bewaarde sleutels in wezen het minimumvereiste. Voor operationele gegevens met een laag risico kunnen contractuele maatregelen volstaan.
Stap 5: Documenteer de beoordeling
De TIA is zelf een document. Het bevat de analyse van stap 1 t/m 4, de conclusie (aanvaardbaar / vereist verdere maatregelen / niet toegestaan), de genomen aanvullende maatregelen, de verantwoordelijke persoon en de datum van de volgende herziening. Zonder documentatie kunt u naleving niet aantonen aan een toezichthouder.
Een serieuze TIA-tool slaat de beoordeling op als gestructureerde gegevens – niet als een Word-bestand in een SharePoint-map – zodat u vragen kunt beantwoorden als "toon mij alle TIA's voor doorgiften naar de VS die uitmonden in een voorwaardelijke goedkeuring". Dit is ook waar de integratie met uw DPIA-workflow zijn vruchten afwerpt: dezelfde verwerking kan het onderwerp zijn van een DPIA op grond van artikel 35 en een TIA op grond van hoofdstuk V, en de documentatie mag geen dubbel werk zijn.
Stap 6: Herbeoordelen
Drie triggers dwingen tot een herbeoordeling:
- Een wezenlijke wijziging in de wetgeving van het land van invoer (een nieuwe toezichtwet, een rechterlijke uitspraak zoals Schrems II of de eventuele opvolger daarvan)
- Een wezenlijke wijziging in de doorgifte (nieuwe verwerker, nieuwe subverwerker, nieuwe gegevenscategorie)
- Een ernstig incident (een datalek waarbij de importeur betrokken is, een ontvangen verzoek om toegang van de overheid)
Naast deze aanleiding wordt afwijkingen opgespoord door een geplande jaarlijkse evaluatie. Elke TIA dient de datum van de volgende evaluatie vast te leggen.
Het overzichtsbeeld van gegevensoverdracht in 2026
Een momentopname van de situatie waarmee een MKB-bedrijf vandaag de dag wordt geconfronteerd, per land.
Verenigde Staten. Het EU-VS-kader voor gegevensbescherming is van kracht; Schrems III is in behandeling bij het Hof van Justitie van de Europese Unie (HvJ-EU), waarbij een uitspraak eind 2026 of begin 2027 wordt verwacht. DPF-gecertificeerde Amerikaanse importeurs kunnen volgens de huidige wetgeving als adequaat worden beschouwd, maar de conservatieve praktijk is om hoe dan ook aanvullende maatregelen toe te passen. End-to-end-versleuteling met sleutels die in de EU worden bewaard, blijft de sterkste technische maatregel.
Verenigd Koninkrijk. Adequatheidsbesluit van kracht, moet in de loop van 2026 worden verlengd. Het VK wijkt op sommige gebieden af van de AVG (versoepelde cookieregels, minder strenge AI-regelgeving), maar handhaaft overdrachtsregels die gelijkwaardig zijn aan de AVG. De Britse ICO sluit grotendeels aan bij het EDPB.
India. Geen adequaatheidsbesluit. De Digital Personal Data Protection Act van 2023 heeft enkele basisbeschermingsmaatregelen opgeheven, maar de surveillancemogelijkheden op grond van de IT-regels blijven een punt van zorg. Behandel als hoog risico; aanvullende maatregelen vereist.
China. Geen adequaatheidsbesluit. De Wet op de bescherming van persoonsgegevens (PIPL) vereist uitdrukkelijke toestemming voor grensoverschrijdende doorgiften en veiligheidsbeoordelingen door de overheid voor omvangrijke doorgiften. In combinatie met de Nationale Inlichtingenwet vereisen doorgiften naar China krachtige aanvullende maatregelen of afwijkingen.
Brazilië. Nog geen adequaatheidsbesluit, maar de LGPD biedt bescherming die vergelijkbaar is met de AVG. De Europese Commissie heeft Brazilië aangemerkt voor een mogelijke adequaatheidsbeoordeling in 2026. Behandel als matig risico; standaard SCC’s plus monitoring is doorgaans verdedigbaar.
TIA’s integreren in uw datamap
Een TIA-tool die losstaat van uw overdrachtsinventaris doet het werk dubbel. Elke overdracht in uw datamap moet al beschikken over:
- Het land van bestemming
- Het overdrachtsmechanisme
- De rechtsgrond
- De categorie gegevens
- Het volume en de frequentie
Wanneer de gegevens gestructureerd zijn, komt het genereren van een TIA neer op het bevestigen van de heuristieken en het toevoegen van de landspecifieke analyse. Readmodel® behandelt elke overdracht in uw kaart als een kandidaat voor een TIA: wanneer het land van bestemming niet op de adequaatheidslijst staat, markeert het systeem de overdracht in het risicoregister en biedt het een TIA-workflow aan die stap 1, 2 en 6 uit de inventaris vooraf invult.
Voor de bredere DPIA-workflow die vaak parallel loopt met een TIA, zie de gids voor DPIA-automatiseringstools .
Transfer Impact Assessment: veelgestelde vragen
Is een Transfer Impact Assessment wettelijk verplicht volgens de AVG? De tekst van de AVG gebruikt de term "Transfer Impact Assessment" niet. De vereiste vloeit voort uit Schrems II (CJEU C-311/18) en de aanbevelingen 01/2020 van het EDPB, waarin de artikelen 44–49 van de AVG worden geïnterpreteerd. Toezichthouders verwachten nu een gedocumenteerde TIA voor elke doorgifte naar een derde land zonder adequaatheidsbesluit. In de praktijk is het antwoord ja — op basis van jurisprudentie en de richtsnoeren van het EDPB.
Heb ik een TIA nodig voor doorgiften naar de VS in het kader van het EU-VS-kader voor gegevensbescherming? Strikte interpretatie: nee — DPF-certificering biedt een passendheidsbeoordeling. Praktische interpretatie: ja, in beperkte mate. De juridische procedure Schrems III betekent dat de DPF-status zou kunnen veranderen. Het documenteren van een TIA met de conclusie "passend volgens DPF, monitoring op juridische wijzigingen" biedt u zowel naleving op dit moment als bescherming voor de toekomst mocht het kader komen te vervallen.
Wat is het verschil tussen een TIA en een DPIA? Een DPIA (artikel 35) beoordeelt verwerkingen met een hoog risico op hun impact op betrokkenen. Een TIA (hoofdstuk V via Schrems II) beoordeelt of een doorgifte naar een derde land bescherming biedt die gelijkwaardig is aan de AVG. Dezelfde verwerking kan beide vereisen: verwerkingen met een hoog risico waarbij een doorgifte naar een derde land plaatsvindt, vereisen zowel een DPIA als een TIA. Moderne compliance-tools slaan beide op als gekoppelde records.
Hebben kleine bedrijven een TIA nodig? Als u gebruikmaakt van niet-EU-SaaS die persoonsgegevens verwerkt – en bijna elk MKB-bedrijf doet dat – ja. Er is geen vrijstelling op basis van het aantal medewerkers zoals in artikel 30, lid 5, voor doorgiften. De diepgang van de analyse mag evenredig zijn, maar de documentatie moet aanwezig zijn.
Wat is het verschil tussen SCC's en BCR's? SCC's zijn de vooraf goedgekeurde standaardcontracten van de Europese Commissie die door elke combinatie van organisaties kan worden toegepast. Ze zijn in juni 2021 gemoderniseerd met vier modules. BCR's (Binding Corporate Rules) zijn intragroepregels voor grote multinationale concerns die zijn goedgekeurd door een toezichthouder. BCR’s zijn duur om te verkrijgen, maar gemakkelijker op grote schaal toe te passen; SCC’s zijn toegankelijk, maar vereisen werk per relatie. De meeste kleine en middelgrote ondernemingen maken gebruik van SCC’s.
Kan ik vertrouwen op de afwijkingen van artikel 49? Voor routinematige verwerking: nee. De afwijkingen zijn bedoeld voor beperkte, uitzonderlijke gevallen: uitdrukkelijke toestemming voor een specifieke doorgifte, noodzaak voor de uitvoering van een overeenkomst met de betrokkenen, belangrijke redenen van algemeen belang. Het EDPB heeft nadrukkelijk gesteld dat artikel 49 geen alternatief is voor ontbrekende mechanismen uit artikel 46.
Hoe vaak moet ik mijn TIA’s bijwerken? Drie factoren maken een update noodzakelijk: een wijziging in de wetgeving van het land van invoer, een wijziging in de overdrachtsregeling, een ernstig incident. Een geplande jaarlijkse evaluatie voorkomt afwijkingen. De meeste toezichthouders verwachten dat TIA’s op het moment van inspectie niet ouder zijn dan 12 maanden.
Wat gebeurt er als Schrems III het EU-VS-kader voor gegevensbescherming ongeldig verklaart? Als het Hof van Justitie van de Europese Unie (HvJ-EU) het DPF ongeldig verklaart, verliezen DPF-gecertificeerde Amerikaanse importeurs hun adequaatheidsstatus. Kleine en middelgrote ondernemingen (KMO's) die preventief aanvullende maatregelen hebben genomen, zullen hier grotendeels geen last van hebben. KMO's die uitsluitend op het DPF vertrouwen, zullen snel standaardcontractbepalingen (SCC's) plus aanvullende maatregelen moeten invoeren of de verwerking terug naar de EER moeten verplaatsen. De les uit 2020 (ongeldigverklaring van het Privacy Shield): een conservatieve aanpak nu bespaart u later een hoop gedoe.
Begin met het documenteren van uw gegevensoverdrachten
Een TIA is geen eenmalig in te vullen formulier — het is documentatie die de feitelijke situatie moet weergeven: waar uw gegevens naartoe gaan, wie er toegang toe heeft en onder welk rechtsstelsel. De gegevensinventaris vormt de basis; de TIA bouwt daarop voort.
Maak een gratis Readmodel®-account aan eer en documenteer uw diensten en gegevensoverdrachten, en het systeem zal elke grensoverschrijdende overdracht markeren waarvoor een TIA nodig is. Sjablonen voor de zesstappenmethodologie van het EDPB, landspecifieke risicotips en integratie met de DPIA-workflow zijn beschikbaar in elk abonnement, inclusief het gratis Explore-abonnement.