Mag mijn leverancier data buiten de EU opslaan?

Zie ons artikel internationale doorgifte. Kern: data-doorgifte buiten EU/EER vereist een grondslag onder Art. 44-49 AVG. Drie hoofdroutes: (1) Adequaatheidsbesluit (Art. 45) — UK, Zwitserland, Japan, Zuid-Korea, Canada (commercieel), VS (via Data Privacy Framework sinds juli 2023). Vrije doorgifte. (2) Standard Contractual Clauses + Transfer Impact Assessment (Art. 46(2)(c)) — voor non-adequate landen zoals China, India, Brazilië. Sinds 2021 nieuwe SCCs verplicht. (3) Binding Corporate Rules (Art. 47) — voor intra-concern (Google, IBM, etc) met EDPB-goedkeuring. Schrems III-risico: NOYB heeft EU-US Data Privacy Framework aangevochten — uitspraak verwacht 2026-2027. Bij nederlaag = honderden bedrijven plotseling onrechtmatig. Voor MKB: vraag leverancier: (a) waar data wordt opgeslagen, (b) welke doorgifte-grondslag, (c) TIA-rapport indien SCC-route. Geen sluitend antwoord = leverancier in non-compliance. Veilige alternatieven: EU-only cloud (TransIP, Hetzner, OVH), lokaal gehoste tools. AVG-prioriteit AP 2025: cross-border data-transfers extra handhaving + boetes meer dan €1m mogelijk.