Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Hoe pakken Standaard Contractuele Clausules (SCC’s) zorgen rond datasoevereiniteit aan — en waar schieten ze tekort?
Hoe pakken Standaard Contractuele Clausules (SCC's) zorgen rond datasoevereiniteit aan — en waar schieten ze tekort?

Hoe pakken Standaard Contractuele Clausules (SCC’s) zorgen rond datasoevereiniteit aan — en waar schieten ze tekort?

by Danielle Barbour updated maart 9, 2026 AVG-naleving
Reading Time: 7 minutes

Standaard Contractuele Clausules (SCC’s) zijn het meest gebruikte mechanisme voor het overdragen van EU-persoonsgegevens naar derde landen. Sinds Schrems II worden ze echter vaak verkeerd begrepen—ze worden gezien als een oplossing voor datasoevereiniteit, terwijl ze hooguit een startpunt zijn. SCC’s voldoen aan de documentatievereiste voor overdracht uit de GDPR. Ze kunnen echter niet—en mogen juridisch gezien niet—de toezichtwetten van de landen waarnaar gegevens worden overgedragen, buiten werking stellen.

Precies begrijpen waar SCC’s werken en waar ze tekortschieten, vormt de basis van elk serieus programma voor grensoverschrijdende datasoevereiniteit.

Samenvatting

Belangrijkste idee: Standaard contractuele clausules leggen bindende contractuele verplichtingen vast tussen gegevensexporteurs en -importeurs voor grensoverschrijdende overdracht van persoonsgegevens onder GDPR Hoofdstuk V. Na Schrems II moeten SCC’s worden aangevuld met Transfer Impact Assessments (TIAs) die beoordelen of het recht van het bestemmingsland hun effectiviteit ondermijnt—en waar actief risico wordt vastgesteld, met technische aanvullende maatregelen. Voor overdrachten naar infrastructuur onder Amerikaanse controle heeft de EDPB encryptie onder regie van de klant, met sleutels buiten de infrastructuur van de aanbieder, aangewezen als de primaire adequate technische maatregel. SCC’s zonder deze architecturale onderbouwing zijn slechts juridische documentatie zonder daadwerkelijke bescherming.

Waarom dit belangrijk is: Oostenrijkse, Franse en Italiaanse toezichthouders hebben handhavingsbesluiten uitgevaardigd waarin bepaalde Amerikaanse cloudprovider-overeenkomsten in strijd met de GDPR worden verklaard—juist omdat SCC’s niet werden aangevuld met adequate technische maatregelen. Boetes kunnen oplopen tot 4% van de wereldwijde jaaromzet. Een SCC-programma dat niet is herzien op basis van de post-Schrems II-standaarden is geen nalevingsstatus—het is vastgelegde blootstelling.

Belangrijkste inzichten

  1. SCC’s zijn een juridisch instrument, geen technische maatregel. Ze binden partijen aan elkaar. Ze binden geen buitenlandse overheden, zetten toezichtwetten niet buiten werking en voorkomen geen verplichte openbaarmaking. Waar ze tegen beschermen is vrijwillig misbruik door de gegevensimporteur—niet door de overheid opgelegde toegang waartegen de importeur juridisch niets kan doen.
  2. Schrems II heeft fundamenteel veranderd wat SCC’s vereisen. De uitspraak van het Hof van Justitie van de EU uit 2020 bepaalt dat SCC’s voor overdrachten naar de VS moeten worden aangevuld met Transfer Impact Assessments en, waar actief CLOUD Act- of FISA 702-risico wordt vastgesteld, met technische aanvullende maatregelen. Alleen SCC’s zijn niet langer voldoende voor overdrachten naar Amerikaanse providers.
  3. De EDPB heeft encryptie onder regie van de klant als vereiste aanvullende maatregel aangewezen. Aanbevelingen 01/2020 stellen encryptie met sleutels die uitsluitend buiten het bestemmingsland—en buiten de infrastructuur van de aanbieder—worden beheerd, aan als de technische maatregel die verplichte overheids­toegang kan ondervangen. Contractuele aanvullende maatregelen (meldingsverplichtingen, bezwaarprocedures) zijn expliciet onvoldoende.
  4. SCC’s dekken geen niet-persoonsgegevens, transitrisk, supply chain-blootstelling of DLP-lekken. Hun reikwijdte is GDPR-persoonsgegevens. Grensoverschrijdende datasoevereiniteit vereist een breder controleraamwerk dat niet-persoonsgegevens onder de EU-datawet, onderschepping tijdens overdracht en ketens van externe verwerkers adresseert.
  5. Statische SCC-programma’s vormen een actieve handhavingsrisico. Het accountability-principe van de GDPR vereist voortdurende beoordeling. TIAs die zijn opgesteld vóór Schrems II, vóór Oostenrijkse/Franse/Italiaanse handhavingsbesluiten of vóór de juridische uitdagingen aan het EU-VS Data Privacy Framework zijn waarschijnlijk niet langer adequaat volgens de huidige regelgeving.

Wat SCC’s wel en niet doen

Standaard contractuele clausules zijn modelcontractbepalingen goedgekeurd door de Europese Commissie en bieden een wettelijke basis voor het overdragen van EU-persoonsgegevens buiten de EER onder GDPR Artikel 46. Ze verplichten de gegevensimporteur tot specifieke verplichtingen: gegevens alleen verwerken voor gespecificeerde doeleinden, passende beveiligingsmaatregelen nemen, de exporteur informeren over overheidsverzoeken waar toegestaan en verzoeken waarvan men denkt dat ze onrechtmatig zijn, aanvechten. De huidige SCC’s zijn in 2021 geüpdatet om het post-Schrems II-landschap te weerspiegelen.

Wat SCC’s niet doen is minstens zo belangrijk. Ze veranderen niets aan de wettelijke verplichtingen van Amerikaanse bedrijven onder de Amerikaanse CLOUD Act of FISA Section 702. Een Amerikaanse aanbieder met de meest grondige SCC-regeling is nog steeds wettelijk verplicht te voldoen aan een geldig CLOUD Act-verzoek. SCC’s verplichten de aanbieder om te protesteren tegen te brede verzoeken; ze kunnen de aanbieder echter niet verplichten om niet te voldoen aan een geldig juridisch bevel van de eigen overheid. Dit is geen fout in de formulering—het is een structurele beperking van contracten als instrument voor gegevensbescherming. Contracten binden partijen aan elkaar. Ze binden geen soevereine overheden. Het Hof van Justitie van de EU bevestigde dit in Schrems II: als het recht van het bestemmingsland overheids­toegang mogelijk maakt die onverenigbaar is met EU-grondrechten, zijn SCC’s alleen onvoldoende.

Een Complete Checklist voor GDPR-naleving

Lees nu

De Schrems II-verplichting: Transfer Impact Assessments

Sinds Schrems II moeten organisaties die SCC’s gebruiken voor overdrachten naar de VS Transfer Impact Assessments uitvoeren—gedocumenteerde evaluaties of het Amerikaanse recht de effectiviteit van SCC’s voor de specifieke overdracht ondermijnt. Een TIA is geen formaliteit. Het moet eerlijk de CLOUD Act en FISA 702 behandelen als actieve juridische autoriteiten die gegevensopenbaarmaking kunnen afdwingen zonder Europees rechterlijk toezicht—en concluderen of technische aanvullende maatregelen voldoende zijn om het vastgestelde risico te adresseren.

Een TIA die CLOUD Act-blootstelling erkent maar stelt dat meldingsverplichtingen en bezwaarprocedures voldoende zijn, voldoet niet aan de post-Schrems II-norm. De EDPB maakt onderscheid tussen contractuele aanvullende maatregelen—die aanpassen wat de aanbieder belooft—en technische aanvullende maatregelen—die aanpassen wat de aanbieder technisch kan doen. Voor overdrachten met CLOUD Act-blootstelling zijn alleen technische maatregelen voldoende. Een aanbieder die kan worden verplicht leesbare gegevens te leveren, biedt onvoldoende bescherming, ongeacht wat hij heeft beloofd niet te doen. Dit is precies waar nationale handhavingsbesluiten van toezichthouders op zijn gebaseerd.

De vereiste technische maatregel van de EDPB: Encryptie onder regie van de klant

EDPB Aanbevelingen 01/2020 wijzen een specifieke technische aanvullende maatregel aan die voldoende is bij CLOUD Act-blootstelling: encryptie waarbij de Amerikaanse aanbieder nooit toegang heeft tot de encryptiesleutels. Sleutels moeten worden gegenereerd door de EU-klant, opgeslagen in infrastructuur buiten de controle van de aanbieder en nooit aan de aanbieder worden overgedragen. In deze architectuur levert een CLOUD Act-verzoek alleen ciphertext op—de aanbieder is technisch niet in staat leesbare gegevens te leveren, ongeacht juridische dwang. Dit voldoet zowel aan de openbaarmakingsplicht van de CLOUD Act als aan de beschermingsvereiste van de GDPR.

Door de klant beheerde encryptie (BYOK/BYOE) met sleutels in Hardware Security Modules onder exclusieve controle van de EU-klant is de praktische implementatie. Organisaties die geen specifieke sleutelbeheerarchitectuur kunnen aantonen waaruit blijkt dat de Amerikaanse aanbieder geen ontsleutelingsmogelijkheid heeft, voldoen niet aan de Schrems II-norm voor technische aanvullende maatregelen—ongeacht de volledigheid van de SCC’s. Hetzelfde geldt voor dataresidentie: SCC-verplichtingen tot datalokalisatie moeten worden ondersteund door infrastructuurniveau-geofencing—een technische aanvullende maatregel—en niet door contractuele verklaringen die door administratieve actie kunnen worden omzeild.

Waar SCC’s gaten laten vallen

Zelfs een volledig compliant SCC-programma dekt slechts een deel van het grensoverschrijdende datasoevereiniteitsvraagstuk. Er blijven drie gaten bestaan, ongeacht de volledigheid van SCC’s.

Niet-persoonsgegevens. SCC’s dekken alleen GDPR-persoonsgegevens. Niet-persoonsgegevens vallen onder Hoofdstuk VII van de EU-datawet, die cloudproviders verplicht technische maatregelen te nemen om onrechtmatige toegang door niet-EU-overheden te voorkomen. Een volledig GDPR-compliant SCC-programma laat niet-persoonsgegevens volledig onbeschermd vanuit soevereiniteitsoogpunt.

Supply chain-blootstelling. SCC’s regelen de directe relatie tussen exporteur en importeur. Wanneer een Amerikaanse aanbieder subverwerkers in andere rechtsgebieden inzet, ontstaat voor elk een afzonderlijk overheids­toegangspunt. Effectief risicobeheer door derden vereist het in kaart brengen en beoordelen van de volledige subverwerkersketen.

Sectorspecifieke verplichtingen. De ICT-derdenrisicovoorwaarden van DORA en de supply chain-beveiligingsplicht van de NIS 2-richtlijn leggen soevereiniteitsverplichtingen op die verder gaan dan GDPR-overdrachts­compliance. SCC’s voldoen aan de GDPR-vereiste; ze voldoen niet aan de sectorspecifieke vereisten.

Hoe Kiteworks SCC-naleving ondersteunt—en verder gaat

Kiteworks levert de architecturale controles die SCC-programma’s daadwerkelijk beschermend maken in plaats van alleen documentair volledig. Het Kiteworks Private Data Network implementeert door de klant beheerde encryptie (BYOK/BYOE) met FIPS 140-3 Level 1 gevalideerde encryptie en AES-256 Encryptie in rust—sleutels uitsluitend in handen van de EU-klant, nooit toegankelijk voor Kiteworks.

Een CLOUD Act-verzoek aan Kiteworks levert alleen ciphertext op. De TIA-conclusie is verdedigbaar, niet vanwege beloftes van Kiteworks, maar omdat Kiteworks technisch niet in staat is leesbare gegevens te leveren. Single-tenant inzet op een door de klant gekozen Europese locatie handhaaft dataresidentie op infrastructuurniveau, niet op contractniveau.

Zero-trust beveiligingsmaatregelen regelen alle toegang, waarbij elk event wordt vastgelegd in onveranderlijke audit logs via het CISO Dashboard. Vooraf geconfigureerde rapportages voor GDPR, NIS 2, DORA en ISO 27001 houden overdrachtsdocumentatie actueel binnen alle relevante kaders. E-mail, bestandsoverdracht, MFT, webformulieren en API’s worden op één platform beheerd met consistente controles—waardoor de fragmentatiegaten van multi-platformomgevingen worden gesloten.

Ontdek hoe Kiteworks uw SCC-nalevingsprogramma ondersteunt en de architecturale gaten dicht die SCC’s niet zelfstandig kunnen adresseren, plan vandaag nog een demo op maat.

Veelgestelde vragen

Standaard contractuele clausules zijn modelcontractbepalingen goedgekeurd door de Europese Commissie en bieden een wettelijke basis voor het overdragen van EU-persoonsgegevens naar derde landen onder GDPR Artikel 46. Ze verplichten gegevensimporteurs tot verplichtingen op het gebied van doeleinde­beperkingen, beveiligingsmaatregelen, samenwerking met rechten van betrokkenen, melding van overheids­toegang en bezwaarprocedures tegen onrechtmatige verzoeken. De huidige SCC’s, geüpdatet in 2021, weerspiegelen de post-Schrems II-vereiste voor aanvullende maatregelen. Na Schrems II moeten SCC’s voor overdrachten naar de VS worden aangevuld met Transfer Impact Assessments en—waar US CLOUD Act– of FISA 702-risico wordt vastgesteld—technische aanvullende maatregelen.

De Schrems II-uitspraak van het Hof van Justitie van de EU (juli 2020) bepaalt dat SCC’s alleen gebruikt mogen worden als het recht van het bestemmingsland hun effectiviteit voor de specifieke overdracht niet ondermijnt. Voor overdrachten naar de VS moeten organisaties TIAs uitvoeren die eerlijk de US CLOUD Act en FISA 702 als actieve openbaarmakingsrisico’s behandelen—en technische aanvullende maatregelen implementeren waar nodig. De EDPB Aanbevelingen 01/2020 verduidelijken dat contractuele aanvullende maatregelen onvoldoende zijn als de Amerikaanse wet naleving door de aanbieder vereist, ongeacht de contractvoorwaarden. SCC-programma’s van vóór Schrems II die niet zijn herzien, brengen een actief handhavingsrisico met zich mee.

Een contractuele aanvullende maatregel past aan wat de gegevensimporteur belooft te doen—bijvoorbeeld toezeggen om overheids­toegangsverzoeken aan te vechten of de gegevensexporteur te informeren bij ontvangen verzoeken. Een technische aanvullende maatregel past aan wat de gegevensimporteur technisch kan doen. Encryptie onder regie van de klant met sleutels buiten de infrastructuur van de aanbieder is een technische aanvullende maatregel: het betekent dat de aanbieder geen leesbare gegevens kan leveren, ongeacht welk juridisch verzoek hij ontvangt, omdat hij nooit de ontsleutelingssleutels heeft gehad. De EDPB vereist technische aanvullende maatregelen voor overdrachten met US CLOUD Act-blootstelling, omdat contractuele maatregelen geen Amerikaanse wettelijke dwang kunnen opheffen—wat de aanbieder belooft niet te doen, verandert niets aan wat de Amerikaanse wet hem verplicht te doen.

Nee. Standaard contractuele clausules (SCC’s) zijn een GDPR-instrument voor persoonsgegevens. Niet-persoonsgegevens die grensoverschrijdend worden overgedragen vallen onder aparte kaders: Hoofdstuk VII van de EU-datawet verplicht cloudproviders technische maatregelen te nemen om onrechtmatige toegang door niet-EU-overheden tot in de EU opgeslagen niet-persoonsgegevens te voorkomen; sectorspecifieke regelgeving stelt aanvullende vereisten voor financiële, zorg- en overheidsgegevens. Een SCC-programma dat voldoet aan de GDPR-overdrachtsvereisten voor persoonsgegevens kan de niet-persoonsgegevens van een organisatie volledig onbeschermd laten vanuit soevereiniteitsperspectief—daarom moeten volledige grensoverschrijdende soevereiniteitsprogramma’s verder gaan dan alleen GDPR-naleving.

Een Schrems II-geschiktheidsbeoordeling moet vier elementen evalueren: of bestaande TIAs eerlijk de US CLOUD Act en FISA 702 als actieve risico’s behandelen (en niet alleen als theoretische zorgen); of deze TIAs technische aanvullende maatregelen documenteren die voldoende zijn voor de vastgestelde risico’s (encryptie onder regie van de klant met gedocumenteerde sleutelbeheerarchitectuur, niet alleen contractuele toezeggingen); of dataresidentie technisch wordt afgedwongen in plaats van alleen contractueel vastgelegd (geofencing op infrastructuurniveau, niet alleen beleidsafspraken); en of onveranderlijke audit logs de voortdurende accountability-documentatie leveren die het GDPR-accountability-principe vereist. Organisaties die Kiteworks gebruiken kunnen vooraf samengestelde nalevingsdocumentatiepakketten genereren—architectuurbewijs, sleutelbeheerrecords en audit log-exports—die elk element van deze beoordeling ondersteunen voor GDPR, NIS 2, DORA en nationale vereisten van toezichthouders.

Aanvullende bronnen 

  • Blog Post
    Datasoevereiniteit: een best practice of wettelijke vereiste?
  • eBook
    Datasoevereiniteit en GDPR
  • Blog Post
    Voorkom deze valkuilen bij datasoevereiniteit
  • Blog Post
    Datasoevereiniteit beste practices
  • Blog Post
    Datasoevereiniteit en GDPR [Inzicht in gegevensbeveiliging]

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks