Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > €100 miljoen zegt dat uw SCC’s niet genoeg zijn voor datasoevereiniteit
€100 miljoen zegt dat uw SCC's niet genoeg zijn voor datasoevereiniteit

€100 miljoen zegt dat uw SCC’s niet genoeg zijn voor datasoevereiniteit

by Marc ten Eikelder updated mei 25, 2026 AVG-naleving
Reading Time: 9 minutes

Belangrijkste inzichten

  1. Contracten boden de verwerkingsverantwoordelijke geen bescherming. De Autoriteit Persoonsgegevens legde een taxiplatform een boete van €100 miljoen op voor het doorgeven van EU-persoonsgegevens aan Rusland — ondanks het feit dat het bedrijf EU Standaard Contractuele Clausules had ondertekend. SCC’s zijn op zichzelf niet langer een verdediging.
  2. Toezichthouders willen architectuur, geen toezeggingen. De beslissing draait om een simpele test: kan de verwerkingsverantwoordelijke daadwerkelijk ongeautoriseerde toegang door het derde land voorkomen? Papieren waarborgen slagen niet voor die test. Encryptiesleutelbeheer, afdwingen van dataresidentie en toegangscontroles wel.
  3. Het patroon verspreidt zich. De Ierse DPC startte een parallel onderzoek naar Shein vanwege datatransfers naar China. Twee rechtsbevoegdheden, twee risicovolle bestemmingen, één toezichthoudende visie: toon de controle aan of betaal de boete.
  4. De meeste organisaties kunnen verwerkingssoevereiniteit niet aantonen. Soevereine opslag is opgelost. Soevereine verwerking niet. Slechts 36% van de organisaties heeft inzicht in hoe derden data verwerken in AI-systemen, en AI-workloads maken elke grensoverschrijdende controle aanname complexer.
  5. De CFO is nu een belanghebbende bij datasoevereiniteit. GDPR-maxima van 4% van de wereldwijde omzet, plus reputatieschade, plus de kosten van het herstructureren van transfers, verschuiven soevereiniteit van de compliance-afdeling naar het executive risicoregister.

De Nederlandse AP trok een streep. SCC’s redden je niet.

In april 2026 legde de Autoriteit Persoonsgegevens — de AP — een €100 miljoen GDPR-boete op aan MLU B.V., de in Nederland gevestigde exploitant van de Yango taxi-app en dochteronderneming van het Russische technologiebedrijf Yandex, voor het onrechtmatig doorgeven van persoonsgegevens van Finse en Noorse gebruikers aan Rusland. De beslissing dateert van 1 april 2026; de AP maakte de sanctie op 8 mei 2026 openbaar, samen met de Finse en Noorse toezichthouders die sinds 2023 het onderzoek mede uitvoerden. Het bedrijf had EU Standaard Contractuele Clausules ondertekend. De AP concludeerde dat deze clausules onvoldoende waren gezien de risico’s van Russische surveillance en overheidsinmenging. De transfers waren dus sowieso onrechtmatig.

Die conclusie is de kern van het verhaal. SCC’s zijn geen aanname van adequaatheid. Ze vormen een vertrekpunt. De verwerkingsverantwoordelijke moet nog steeds aantonen dat, in de praktijk, het juridische regime van het derde land bescherming op een “wezenlijk gelijkwaardig” niveau aan de EU-standaarden toestaat. Als dat niet lukt — en door de Russische surveillancepositie was dat onmogelijk — stort het contractuele mechanisme in.

Dit is Schrems II-logica volledig in de praktijk gebracht. Het Hof van Justitie van de Europese Unie gaf verwerkingsverantwoordelijken in 2020 mee dat SCC’s aanvullende maatregelen vereisen als het recht van het derde land structurele toegangsrisico’s oplevert. Zes jaar lang werd die uitspraak als theoretisch beschouwd. De Nederlandse AP maakte er zojuist een factuur van €100 miljoen van.

De les gaat verder dan taxiplatforms en Rusland. Elke multinational die offshore ontwikkelaars, supportteams, analyticsleveranciers of cloudregio’s gebruikt in rechtsgebieden met sterke staatsmacht, valt nu onder hetzelfde juridische vergrootglas. De toets is niet of het contract er is. De toets is of de architectuur het contract afdwingbaar maakt.

Wat de MLU-beslissing bijzonder lastig maakt om te negeren, is de redenering van de AP. De toezichthouder stelde niet dat SCC’s slecht zijn. De AP stelde dat SCC’s op zichzelf geen buitenlandse overheidsmacht kunnen beperken. Dat is een structurele constatering, geen kwestie van documentatie. Geen enkele verfijning van de clausules lost een structureel probleem op. De enige oplossing is ervoor zorgen dat data in de praktijk onbereikbaar is — door encryptie met EU-gecontroleerde sleutels, door afdwingen van dataresidentie, door architecturale controles die onafhankelijk werken van contractuele goede wil.

Wat “aanvullende maatregelen” in de praktijk betekent

De AP-beslissing onderstreept een term die Europese toezichthouders al jaren gebruiken en die de meeste verwerkingsverantwoordelijken systematisch onderschatten: “aanvullende maatregelen.” Artikel 46 van de GDPR staat overdrachten toe op basis van passende waarborgen, maar alleen als die waarborgen daadwerkelijk werken. Als SCC’s het mechanisme zijn, zijn de aanvullende maatregelen wat ze effectief maakt.

In de praktijk zijn er drie categorieën van controle.

  • Technische controles. Encryptie met sleutels buiten het derde land. Pseudonimisering waarbij decryptie niet mogelijk is in het bestemmingsland. Toegangslogs die aantonen welke entiteiten — inclusief overheidsinstanties — geprobeerd hebben toegang te krijgen tot de data. De technische beveiligingsstatus moet ongeautoriseerde toegang architecturaal moeilijk maken, niet alleen contractueel verboden.
  • Organisatorische controles. Gedocumenteerde Transfer Impact Assessments die het juridische regime van elk bestemmingsland beoordelen. Leverancierszorgvuldigheid die surveillancewetten onderzoekt, niet alleen SOC 2-rapporten. Incident response draaiboeken voor overheidsverzoeken tot toegang tot data.
  • Contractuele controles naast SCC’s. Schadeloosstelling, auditrechten, meldtermijnen voor datalekken die strenger zijn dan de GDPR-minima, en clausules die de verwerker verplichten om onrechtmatige toegangsverzoeken aan te vechten. Dit zijn geen vervangers voor technische en organisatorische controles, maar aanvullingen.

De Nederlandse AP vond de aanvullende maatregelen van MLU onvoldoende gezien het structurele surveillancerisico. De boete is de prijs van het behandelen van “passende waarborgen” als een afvinklijst.

Waarom opslagsoevereiniteit geen verwerkingssoevereiniteit is

De meeste grote organisaties hebben opslagsoevereiniteit opgelost. Data staat in EU-datacenters. Back-ups blijven in de regio. Disaster recovery-sites zijn vastgelegd. De volgende golf van regelgeving stelt een moeilijkere vraag: waar wordt de data daadwerkelijk verwerkt, en reikt datasoevereiniteit zover?

Kiteworks Data Security and Compliance Risk: 2026 Forecast Report laat het gat duidelijk zien. 29% van de organisaties noemt grensoverschrijdende overdrachten via AI-leveranciers als grootste privacyrisico. 30% noemt verwerking door derde AI-leveranciers als belangrijkste beveiligingszorg. Maar slechts 36% heeft inzicht in hoe partners data verwerken in AI-systemen. De rest vertrouwt op contracten — precies het vertrouwen dat de Nederlandse AP nu bestraft heeft.

Het 2026 Forecast Report beschrijft dit als een verschuiving van “waar staat de data opgeslagen?” naar “waar wordt ze verwerkt, wie kan erbij, en kun je dat aantonen?” Opslagcontroles beantwoorden de eerste vraag. Ze beantwoorden de andere twee niet.

Dit wordt urgent bij AI-workloads. Een prompt naar een cloud-AI-leverancier kan in een andere rechtsbevoegdheid verwerkt worden dan waar de opslag plaatsvindt. Het model kan in een derde land gehost worden en in een vierde land worden bijgesteld. De output kan meerdere grenzen passeren voordat deze terugkeert. Traditionele soevereiniteitscontroles — die ervan uitgaan dat data een vaste locatie heeft — vangen dit niet.

De beslissing van de Nederlandse AP geldt voor al deze situaties. De juridische toets is niet “stond de data in de EU?” De toets is “kon een actor uit een derde land toegang afdwingen?” Voor de meeste AI-inzetten is het eerlijke antwoord: “we weten het niet.”

Dat eerlijke antwoord heeft gevolgen. Als de toezichthouder vraagt waar een prompt is verwerkt, waar het model is gehost en welk recht van toepassing is op een toegangsverzoek, moet de verwerkingsverantwoordelijke bewijs leveren — geen intentieverklaring. Contracten geven de intentie weer. Architectuur levert het bewijs. De MLU-beslissing is de brug tussen die twee: ze bestraft intentie zonder bewijs.

De Shein-zaak bevestigt het patroon

Drie dagen voordat de Nederlandse AP de Yango-boete openbaar maakte, kondigde de Ierse Data Protection Commission een onderzoek aan naar Infinite Styles Services Co. Ltd. (Shein Ireland) over de overdracht van EU- en EER-gebruikersdata naar China. De DPC startte het onderzoek op grond van Section 110 van de Data Protection Act 2018 op 30 april 2026 en maakte het openbaar op 5 mei 2026. Het onderzoek kijkt naar de rechtsgrondslag, transparantie en waarborgen voor buitenlandse verwerking via het EMEA-hoofdkantoor van Shein in Dublin.

Twee handhavingsacties in dezelfde maand, gericht op twee verschillende risicovolle bestemmingen, beide gebaseerd op hetzelfde juridische mechanisme: waarborgen voor grensoverschrijdende overdracht. Dit is geen incident meer. Het is een toezichthoudend patroon.

China stelt dezelfde juridische uitdaging als Rusland. De PIPL bevat beperkingen op grensoverschrijdende overdrachten; China’s nationale veiligheids- en inlichtingenwetten bevatten bepalingen die juist toegang mogelijk maken. Die combinatie betekent dat een multinational die Europese data naar Chinese verwerkingsinfrastructuur brengt, voor hetzelfde Schrems II-probleem staat als waarover de Nederlandse AP zojuist oordeelde.

De Shein-zaak is nog niet afgerond. Maar de DPC heeft de bevoegdheid om forse boetes op te leggen onder de GDPR — tot 4% van de wereldwijde omzet. Voor een platform met een hoge hoeveelheid consumenten is die rekensom niet abstract.

De bredere implicatie: elke organisatie met ontwikkel-, analytics- of supportteams in rechtsgebieden met sterke staatsmacht — niet alleen Rusland en China, maar ook de bredere lijst landen die de EU in adequaatheidsprocedures heeft aangemerkt — moet rekenen op vergelijkbare aandacht. De toezichthouders werken samen, de juridische toets is geharmoniseerd en het budget voor deze zaken groeit.

Soevereiniteit die je kunt aantonen: de Europese standaard

Europese toezichthouders geven al jaren signalen over de nieuwe standaard. De Kiteworks 2026 Data Security and Compliance Risk: Data Sovereignty in Europe executive summary beschrijft het als de verschuiving van “we denken dat we compliant zijn” naar “we kunnen aantonen waar data zich bevindt, hoe toegang wordt geregeld en hoe grensoverschrijdende beweging wordt voorkomen of vastgelegd.”

Het Europe Sovereignty Report benoemt drie operationele pijlers.

  • Controles. Afdwingen van dataresidentie, encryptiesleutelbeheer en toegangsbeleid die ongeautoriseerde grensoverschrijdende beweging op architectuurniveau voorkomen. Niet op beleidsniveau. Niet op contractniveau. Op architectuurniveau — wat betekent dat data de grens niet kan verlaten omdat het systeem dat niet toestaat, ongeacht wie het vraagt.
  • Bewijsstukken. Exporteerbare audittrails, dataresidentielogs en compliance-rapportages die toezichthouders en klanten op verzoek tevredenstellen. Niet op kwartaalbasis. Op verzoek.
  • Responsgereedheid. Geteste draaiboeken voor overheidsverzoeken tot data, uitval van derde leveranciers, Transfer Impact Assessments en Schrems II-compliance-scenario’s. De oefening moet voorafgaan aan het incident.

44% van de Europese respondenten noemt zorgen over soevereiniteitsgaranties van aanbieders als barrière voor het adopteren van Europese cloudoplossingen — het hoogste percentage van alle onderzochte regio’s. De markt heeft leveranciers verteld wat ze nodig heeft. Toezichthouders hebben nu hetzelfde duidelijk gemaakt, met een boete van €100 miljoen als onderstreping.

De Kiteworks-aanpak: architectuur, geen ambitie

Kiteworks operationaliseert datasoevereiniteit op infrastructuurniveau in plaats van beleidsniveau. Beveiligde gegevensuitwisseling ondersteunt flexibele inzetopties — on-premises, private cloud, hybride en FedRAMP — zodat organisaties gevoelige content binnen de eigen rechtsbevoegdheid kunnen opslaan, of dat nu de EU, Canada, het Midden-Oosten of de Verenigde Staten is.

Encryptiesleutelbeheer blijft binnen de rechtsbevoegdheid. Geofencing wordt afgedwongen via configureerbare IP-controles. E-mail, bestandsoverdracht, beheerde bestandsoverdracht, SFTP en dataformulieren worden samengebracht op één zero-trust platform waar elk bestand wordt gecontroleerd, gevolgd en beschermd gedurende de hele levenscyclus. De architectuur dwingt dataresidentie af. De architectuur is wat de Nederlandse AP wil zien.

De auditdimensie is net zo belangrijk. Gecentraliseerde, onveranderbare auditlogs en geautomatiseerde compliance-rapportages — met vooraf ingestelde sjablonen voor GDPR, DORA, NIS 2, PIPEDA, PDPL en anderen — leveren het exporteerbare bewijs dat het Europe Sovereignty Report noemt als het operationele onderscheid tussen organisaties die incidenten meemaken en organisaties die ze voorkomen. Wanneer een toezichthouder vraagt waar data is verwerkt, is het antwoord een query op een onveranderbare log, niet een forensische reconstructie.

Voor organisaties die hun datatransferpositie heroverwegen na de MLU-beslissing, bieden de bevindingen van het Kiteworks 2026 Forecast Report het juiste perspectief: het doel is niet betere contracten. Het doel is een uniform governance framework dat auditklare documentatie oplevert waar toezichthouders, auditors en zakelijke klanten steeds vaker om vragen.

Wat CISO’s en General Counsel nu moeten doen

  1. Maak de geografie inzichtelijk. Breng elk systeem, elke leverancier en elke workflow in kaart die Europese persoonsgegevens grensoverschrijdend verwerkt. Volgens gegevens uit het Kiteworks 2026 Forecast Report heeft slechts 36% van de organisaties inzicht in de dataverwerking door partners in AI-systemen — een uitgangspunt dat de volgende DPC-inspectie niet zal overleven. Begin bij AI-leveranciers, daarna offshore development teams, daarna analytics-verwerkers.
  2. Herwaardeer SCC’s als verdediging. Uit het Kiteworks 2026 Forecast Report blijkt dat contractuele waarborgen alleen steeds vaker onvoldoende zijn tegen staatsmacht. Zie SCC’s als één laag binnen een defense-in-depth aanpak, niet als de bepalende laag. Voeg technische controles toe — encryptie, sleutelafscheiding, afdwingen van dataresidentie — en documenteer deze in geüpdatete Transfer Impact Assessments.
  3. Bewijs verwerkingssoevereiniteit, niet alleen opslagsoevereiniteit. Volgens het Kiteworks 2026 Forecast Report erkent 29% van de organisaties grensoverschrijdende AI-overdrachten als risico, maar erkenning is geen controle. Bouw de technische beveiligingsstatus die de verwerkingslocatie beperkt, niet alleen de opslaglocatie. Voor AI-workloads is dit het moeilijkste en meest urgente probleem.
  4. Instrumenteer de audittrail. Wanneer een toezichthouder vraagt hoe een overdracht plaatsvond, moet het antwoord uit een manipulatieresistente log komen, niet uit een reconstructie. Het Kiteworks 2026 Forecast Report laat zien dat 33% van de organisaties audittrails van onvoldoende bewijsniveau heeft. Het Europe Sovereignty Report noemt exporteerbare audittrails als het operationele onderscheid tussen organisaties die soevereiniteitsincidenten meemaken en organisaties die ze voorkomen.
  5. Oefen het draaiboek vóór het incident. Test de reactie op een overheidsverzoek tot data. Test de reactie op een leveranciersuitval in een risicovolle rechtsbevoegdheid. De beslissing van de Nederlandse AP laat zien dat de toezichthouder de reactie zal meten aan de hand van gedocumenteerde voorbereiding, niet aan goede bedoelingen. Tabletop-oefeningen met juridische, security-, privacy- en executive teams zijn de goedkoopste verzekering tegen een slecht verlopend toezichtonderzoek.

De MLU-boete bedroeg €100 miljoen. De architectuur die dit had kunnen voorkomen, kost minder. De rekensom voor de board is veranderd. Wat vroeger een post was voor de privacyafdeling, is nu een entry op het bedrijfsrisicoregister — één die concurreert met cyberbeveiliging, financiële controles en operationele veerkracht. Organisaties die datasoevereiniteit als architectuur behandelen, geven op termijn minder uit dan organisaties die het als papierwerk zien. De Nederlandse AP heeft die keuze nu duur genoeg gemaakt om serieus te nemen.

Veelgestelde vragen

Ja. De beslissing van de Nederlandse AP stelt dat SCC’s op zichzelf onvoldoende zijn als er structurele staatsmacht bestaat in het bestemmingsland. Kiteworks Data Security and Compliance Risk: 2026 Forecast Report laat zien dat slechts 36% van de organisaties inzicht heeft in de dataverwerking door partners. Voeg encryptie toe met EU-gecontroleerde sleutels, documenteer een Transfer Impact Assessment en beoordeel of verwerking kan worden verplaatst.

Financiële ondernemingen lopen het hoogste gecombineerde GDPR- en sectorspecifieke risico. Kiteworks Data Security and Compliance Risk: 2026 Forecast Report toont aan dat 29% van de organisaties grensoverschrijdende overdrachten via AI-leveranciers als grootste privacyrisico noemt. Het precedent van de Nederlandse AP suggereert dat alleen SCC’s niet langer standhouden. Architecturale controles — afdwingen van dataresidentie, sleutelbeheer binnen de rechtsbevoegdheid — worden de verdedigbare standaard.

Behandel de selectie van AI-leveranciers als een Transfer Impact Assessment, niet als een inkooptraject. Kiteworks Data Security and Compliance Risk: 2026 Forecast Report laat zien dat 30% van de organisaties verwerking door derde AI-leveranciers als belangrijkste beveiligingszorg noemt. Documenteer de rechtsbevoegdheid waarin het model is getraind, de locatie van inferentie en de datastroom. SCC’s zijn op zichzelf niet langer voldoende als er staatsmacht bestaat.

Gedeeltelijk. Soevereine cloud lost opslagsoevereiniteit op. Kiteworks Data Security and Compliance Risk: 2026 Forecast Report laat zien dat 44% van de Europese respondenten nog steeds zorgen over soevereiniteitsgaranties van aanbieders noemt als barrière. De MLU-beslissing richt zich op verwerkingssoevereiniteit, inclusief wie toegang heeft tot de data, onder welke rechtsbevoegdheid. Encryptiesleutelbeheer en toegangslogs zijn de architecturale antwoorden.

Toezichthouders verwachten gedocumenteerde technische, organisatorische en contractuele waarborgen plus geteste draaiboeken voor incidentresponse. Kiteworks Data Security and Compliance Risk: 2026 Forecast Report laat zien dat 33% van de organisaties audittrails van onvoldoende bewijsniveau heeft. Exporteerbare residentielogs, onveranderbare toegangslogs en gedocumenteerde responsgereedheid zijn de bewijsstukken die toezichthouders nu direct verwachten, niet op kwartaalbasis.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks