Verschilt Europrivacy van een SCC?

Ja. Standaardcontractbepalingen (SCCs) zijn contractuele waarborgen die jij als gegevensverantwoordelijke afsluit met je verwerker. Europrivacy is een certificering die de verwerker zelf aanvraagt en die aantoont dat hun systemen en processen aan de AVG-vereisten voor doorgiften voldoen. Je hoeft zelf geen aanvullend contract op te stellen.

Hoe controleer ik of mijn leverancier Europrivacy-gecertificeerd is?

Europrivacy certificeringen worden bijgehouden in een openbaar register op europrivacy.eu. Je kunt jouw leveranciers hier opzoeken. Verwacht dat grotere SaaS-aanbieders in 2026-2027 Europrivacy-certificering zullen aanvragen, nu de eerste goedkeuring een precedent heeft geschapen.

Geldt Europrivacy ook voor Amerikaanse SaaS-aanbieders?

Ja. Europrivacy is bedoeld voor alle niet-EER verwerkers, inclusief Amerikaanse aanbieders. Voor overdrachten naar de VS bestaat weliswaar het EU-US Data Privacy Framework (adequaatheidsbesluit van 2023), maar Europrivacy biedt een aanvullende optie voor aanbieders die niet onder dat kader vallen of die een robuustere waarborg willen bieden.

Europrivacy: de eerste GDPR-overdrachttool die werkt buiten SCCs om

GDPR, Compliance

6/9/2026

Na de boete van honderd miljoen euro die de Autoriteit Persoonsgegevens in mei 2026 oplegde aan Yango voor het doorgeven van persoonsgegevens naar Rusland op basis van SCCs die als onvoldoende werden beoordeeld, begonnen veel Nederlandse mkb-bedrijven zich af te vragen: zijn onze eigen leverancierscontracten wel afdoende? En terecht. Want er is nu een nieuwe optie beschikbaar: Europrivacy-certificering. Dit is een wezenlijke ontwikkeling. Voor het eerst in de acht jaar dat de AVG van kracht is, is een certificeringsschema goedgekeurd als overdrachtsgrondslag.

Wat is Europrivacy-certificering?

Op 16 april 2026 nam de EDPB Opinion 15/2026 aan, waarin Europrivacy-certificering wordt goedgekeurd als overdrachtstool onder Artikelen 42 en 46 van de AVG. Sinds 2018 bestond deze mogelijkheid al in de wet, maar ze werd nooit benut. Europrivacy is nu het eerste certificaat dat aan deze wettelijke basis voldoet.

Niet-EER-importeurs van data, oftewel leveranciers buiten de EU, kunnen Europrivacy-certificering aanvragen om aan te tonen dat zij passende waarborgen bieden voor het ontvangen van Europese persoonsgegevens. In de praktijk betekent dit dat een gecertificeerde verwerker de overdrachtsgrondslag meedraagt in zijn eigen bedrijfsvoering, in plaats van dat jij als verwerkingsverantwoordelijke per klant een apart contract moet opstellen.

Waarom zijn SCCs niet altijd voldoende?

De boetes van Yango (honderd miljoen euro) en TikTok (vijfhonderd dertig miljoen euro) draaiden allebei om dezelfde constatering: SCCs zijn contractuele waarborgen, maar als het land van de data-importeur wetten heeft die deze waarborgen opzij kunnen zetten, denk aan Rusland of China, dan bieden SCCs onvoldoende bescherming.

De AP heeft duidelijk gemaakt dat zij Transfer Impact Assessments (TIAs) verwacht voor alle niet-EER-doorgiften. En die TIAs moeten eerlijk zijn. Als de wet van het ontvangende land het mogelijk maakt dat autoriteiten toegang krijgen tot de data ondanks de SCC-afspraken, dan biedt de SCC feitelijk geen garantie. Dat is het kernprobleem.

SCCs leggen de bewijslast bij jou als verwerkingsverantwoordelijke: jij moet aantonen dat de contractuele afspraken ook in de praktijk werken. Als dat in een bepaald land structureel moeilijk te bewijzen is, blijf je met een risico zitten.

Hoe werkt Europrivacy als overdrachtsgrondslag?

Bij SCCs sluit jij als verwerkingsverantwoordelijke een contract af met jouw verwerker. Europrivacy werkt andersom: de verwerker vraagt zelf de certificering aan. Als jouw leverancier Europrivacy-gecertificeerd is, vormt die certificering zelf de overdrachtsgrondslag op grond van Artikel 46. Je hoeft geen aanvullend contract op te stellen.

Praktische implicatie: je kunt bij de evaluatie van nieuwe leveranciers voortaan vragen of zij Europrivacy-gecertificeerd zijn, net zoals je vraagt of zij ISO 27001-gecertificeerd zijn of een verwerkersovereenkomst kunnen aanleveren. Is dat het geval, dan is de overdrachtsgrondslag geregeld. Documenteer de certificering in je verwerkingsregister en de TIA is in de kern al afgedekt.

Dit verschuift ook de verantwoordelijkheid. In het SCC-model is de compliance-inspanning grotendeels bij jou als klant. In het Europrivacy-model heeft de leverancier zelf aangetoond compliant te zijn. Voor een mkb-bedrijf dat tientallen SaaS-tools gebruikt, is dat een wezenlijk verschil in beheerlast.

Hoe controleer je of jouw leverancier gecertificeerd is?

Het Europrivacy-register wordt bijgehouden op europrivacy.eu. De verwachting is dat de eerste grote certificeringen in 2026 verschijnen, nu de EDPB-goedkeuring een precedent heeft geschapen. Grote SaaS-aanbieders met een Europees klantenbestand zullen snel volgen, want gecertificeerd zijn verlaagt de drempel voor Europese zakelijke klanten aanzienlijk.

Wat doe je in de tussentijd? Ga door met SCCs en TIAs voor bestaande leveranciers. Voeg bij evaluaties van nieuwe leveranciers de vraag toe: "Heeft u een Europrivacy-certificering aangevraagd of bent u van plan dat te doen?" De aanwezigheid van dit gesprek helpt je ook te beoordelen hoe serieus een leverancier zijn eigen privacy-compliance neemt.

Wat documenteer je in je verwerkingsregister?

Voor elke niet-EER-verwerker documenteer je in je verwerkingsregister welke overdrachtsgrondslag van toepassing is: een adequaatheidsbesluit, een SCC, Binding Corporate Rules of, voortaan, een Europrivacy-certificering. Is een leverancier Europrivacy-gecertificeerd, noteer dan de certificeringsreferentie en de datum.

Dit is precies wat de leveranciersbeheer module in ComplianceHive bijhoudt. Per leverancier leg je vast welke overdrachtsgrondslag geldt, wanneer die is gecontroleerd en wanneer de review opnieuw gepland staat. Zo heb je bij een controle door de AP altijd direct je documentatie paraat, zonder handmatig door spreadsheets te moeten zoeken.

ComplianceHive helpt je jouw verwerkingsregister up-to-date te houden met alle leveranciersgegevens, inclusief de overdrachtsgrondslag die voor elke verwerker geldt.