Mag een bedrijf mijn data naar de VS of China versturen?

Data-overdracht naar derde landen onder adequaatheidsbesluit of Standard Contractual Clauses (SCCs). Adequatie-landen (per 2026): UK, Zwitserland, Japan, Zuid-Korea, Argentinië, Israël, Nieuw-Zeeland, Uruguay, Canada (commercieel), VS (via Data Privacy Framework sinds juli 2023). Naar deze landen: vrij doorgifte. Voor VS specifiek: EU-US Data Privacy Framework (opvolger van Privacy Shield na Schrems II). Maar NOYB heeft "Schrems III" al aangekondigd — instabiel. Voor non-adequate landen (China, India, Rusland, Brazilië, etc): SCCs verplicht + Transfer Impact Assessment (TIA) + aanvullende maatregelen (encryptie at-rest + in-transit, pseudonimisering, split keys). Bij surveillance-wetgeving (China FISA-equivalent, Russia surveillance) = vaak onmogelijk om SCC + TIA effectief te maken. Vereiste transparantie: bedrijf moet in privacy-statement vermelden welke landen jouw data ontvangen + welke waarborgen. Jouw rechten: AVG Art. 15 inzage — vraag "naar welke landen wordt mijn data verstuurd?". Geen sluitend antwoord = klacht AP. Boetes: Schrems II-niet-naleving = miljoenen boetes (Meta €1,2 miljard 2023). Volgende AP-prioriteit: Chinese cloud-leveranciers + low-cost SaaS uit niet-adequate landen.