Het TikTok-precedent
De boete van €530 miljoen van de Ierse Data Protection Commission in mei 2025 tegen TikTok voor het overdragen van Europese Economische Ruimte gebruikersgegevens naar China heeft een handhavingsprecedent vastgesteld dat verder gaat dan sociale media bedrijven. De bevinding van de DPC: TikTok heeft artikel 46(1) van de GDPR geschonden door persoonsgegevens naar een derde land — China — over te dragen zonder adequate waarborgen. De overdracht was de schending, niet de gegevensverzameling of verwerking die volgde.
De reikwijdte van het precedent: elke overdracht van EU-persoonsgegevens naar een niet-EU-server voor verwerking — inclusief verwerking door een legitiem, compliant hulpmiddel — is een gegevensoverdracht onder de artikelen 44-49 van de GDPR. De overdracht vereist ofwel een adequaatheidsbesluit (de EU heeft geoordeeld dat de gegevensbescherming in het ontvangende land adequaat is), Standaardcontractbepalingen (contractuele bescherming die de ontvanger bindt), Bindende bedrijfsregels (goedgekeurd intern multinationaal kader), of een andere mechanismen van artikel 46.
Cumulatieve GDPR-boetes bereikten €5,65 miljard tot en met 2025. Schendingen van gegevensoverdracht bedragen nu gemiddeld €18 miljoen per handhavingsactie (DLA Piper 2025), waardoor ze tot de hogere handhavingscategorieën behoren.
Het paradox van het anonimiseringshulpmiddel
Een organisatie die een op de VS gebaseerde SaaS-anonimiseringshulpmiddel gebruikt om EU-klantgegevens te verwerken, staat voor een structureel GDPR-probleem. De workflow: EU-klantgegevens worden geüpload naar de Amerikaanse servers van het anonimiseringshulpmiddel, verwerkt en teruggestuurd als geanonimiseerd. De geanonimiseerde gegevens worden opgeslagen en gebruikt in de EU. De ruwe persoonsgegevens — de oorspronkelijke EU-klantgegevens — hebben Amerikaanse servers doorkruist tijdens de verwerkingsstap.
Die transit is een gegevensoverdracht onder de GDPR. De intentie van de organisatie (de gegevens anonimiseren voor compliance-doeleinden) elimineert de analyse van artikel 44-49 niet. Het feit dat de gegevens vervolgens zijn geanonimiseerd, herstelt de overdracht van de voor- geanonimiseerde persoonsgegevens niet.
De analyse van TikTok door de Ierse DPC is direct toepasbaar: de schending is de overdracht van persoonsgegevens naar een niet-EU-server, ongeacht welke verwerking plaatsvindt op de ontvangende server. Een op de VS gebaseerd anonimiseringshulpmiddel dat EU-persoonsgegevens ontvangt op Amerikaanse servers heeft een overdracht van EU-persoonsgegevens ontvangen. De organisatie die het hulpmiddel gebruikt, heeft dezelfde adequaatheidsbeslissing, SCC's of BCR's nodig als elke andere gegevensoverdracht.
De oplossing van de zero-knowledge architectuur
De oplossing is architectonisch: een anonimiseringshulpmiddel dat nooit persoonsgegevens ontvangt, kan niet de oorzaak zijn van een gegevensoverdracht. De zero-knowledge benadering — waarbij de PII-detectie en vervanging client-side plaatsvinden, en alleen de geanonimiseerde output wordt verzonden of opgeslagen op de servers van het hulpmiddel — elimineert de zorg over gegevensoverdracht.
Onder zero-knowledge architectuur: de ruwe EU-persoonsgegevens van de klant worden verwerkt in de browser of lokale applicatie van de gebruiker. De PII-detectie vindt lokaal plaats. De geanonimiseerde output (waarbij echte PII is vervangen door tokens of versleutelde waarden) is de enige gegevens die naar de server worden verzonden. De server ontvangt geanonimiseerde gegevens — gegevens die, als de anonimisatie compleet is, geen persoonsgegevens zijn onder de GDPR.
Voor organisaties die hun artikel 30 ROPA (Records of Processing Activities) documenteren, is dit architectonische verschil belangrijk: de ROPA-invoer voor een EU-server, zero-knowledge anonimiseringshulpmiddel registreert geen grensoverschrijdende overdracht. De ROPA-invoer voor een op de VS gebaseerde anonimiseringshulpmiddel dat ruwe persoonsgegevens ontvangt, registreert een grensoverschrijdende overdracht die documentatie van de juridische basis vereist.
Bronnen: