Mag ik nog persoonsgegevens door een Amerikaans bedrijf laten verwerken?

Amerikaanse leveranciers & EU US Data Privacy Framework

Het verwerken van persoonsgegevens via een leverancier met een (hoofd)kantoor in de VS kan momenteel op basis van het EU US Data Privacy Framework. Een DTIA is niet nodig als een leverancier (zelf-)gecertificeerd is. Er is dan sprake van een adequaat beschermingsniveau.

Voor de doorgifte van persoonsgegevens naar Cloud/SaaS/PaaS leveranciers met een (hoofd)kantoor in de Verenigde staten geldt momenteel dat er een adequaat beschermingsniveau voor persoonsgegevens is. Als leveranciers in de VS deelnemen aan het EU US Data Privacy Framework (DPF), kunnen zij de persoonsgegevens volgens het adequaatheidsbesluit van de Europese Commissie voldoende beschermen.

Dat besluit geldt ook als Amerikaanse overheidsorganisaties en diensten toegang eisen tot gegevens die in Europa zijn opgeslagen. Omdat er momenteel sprake is van voldoende adequate bescherming zijn er geen aanvullende DTIA’s (Data Transfer Impact Assessment) nodig.

Lees ook de SURF-strategie over Amerikaanse leveranciers (voorjaar 2025):