Het Compliance Paradox
Organisaties zetten anonimiseringshulpmiddelen in om te voldoen aan de GDPR. Het hulpmiddel is de technische maatregel onder Artikel 32 die persoonlijke gegevens beschermt tegen ongeautoriseerde toegang. Het hulpmiddel zou de oplossing moeten zijn. Maar als het hulpmiddel EU-persoonsgegevens op niet-EU-servers verwerkt, creëert het hulpmiddel zelf de schending die het zou moeten voorkomen.
De boete van de Nederlandse Autoriteit Persoonsgegevens van augustus 2024 van €290 miljoen tegen Uber — de grootste boete ooit voor een schending van de EU-gegevensoverdracht op dat moment — was specifiek voor het overdragen van persoonlijke gegevens van Europese chauffeurs (namen, locatiegegevens, betalingsinformatie, identiteitsdocumenten) naar de Amerikaanse servers van Uber zonder adequate waarborgen van Artikel 46 van de GDPR. De overdracht was systematisch en aanhoudend. De bevinding van de DPA: het operationele model van Uber, dat afhankelijk was van Amerikaanse serverinfrastructuur om EU-chauffeursgegevens te verwerken, was een voortdurende schending van de GDPR.
Het Uber-patroon geldt ook voor anonimiseringshulpmiddelen: een op de VS gebaseerd SaaS-hulpmiddel dat EU-persoonsgegevens ontvangt op Amerikaanse infrastructuur voor verwerking, engageert zich in hetzelfde type overdracht waarvoor de Nederlandse DPA Uber heeft gesanctioneerd. Het doel (anonimisering in plaats van ritbeheer) verandert de juridische analyse niet.
De Erkenning van de DPO-gemeenschap
De professionele DPO-gemeenschap heeft deze paradox met toenemende frequentie onder de aandacht gebracht sinds de uitspraak in de Schrems II-zaak (2020), die het EU-VS Privacy Shield ongeldig maakte en vaststelde dat Amerikaanse serverinfrastructuur presumptief inadequaat is voor EU-persoonsgegevensoverdrachten zonder aanvullende waarborgen. De uitspraak in de Schrems II-zaak creëerde de analyse: voor elk op de VS gebaseerd hulpmiddel dat EU-persoonsgegevens ontvangt, moet de organisatie de juridische basis voor de overdracht documenteren.
Cumulatieve GDPR-boetes bereikten €5,65 miljard tot 2025 (GDPR.eu). Overtredingen van grensoverschrijdende overdrachten bedragen nu gemiddeld €18 miljoen per handhavingsactie (DLA Piper 2025). De handhavingslijn betekent dat het compliance-paradox geen theoretische zorg is — het heeft geleid tot en zal blijven leiden tot aanzienlijke handhavingsacties.
De EU-Eerste Architectuur
De oplossing vereist ofwel EU-gebaseerde serverinfrastructuur voor de anonimiseringsverwerking (de gegevens verlaten nooit de EU) of zero-knowledge-architectuur (geen persoonlijke gegevens bereiken de server), of beide.
EU-gebaseerde hosting alleen — een in de VS gevestigde onderneming die op EU-servers host — is mogelijk niet voldoende. De Schrems II-analyse is van toepassing op Amerikaanse bedrijven die onder Amerikaanse surveillanceregels vallen, ongeacht de serverlocatie: FISA Sectie 702 en Executive Order 12333 zijn van toepassing op Amerikaanse bedrijven en hun dochterondernemingen, wat betekent dat een Amerikaans moederbedrijf met EU-gehoste servers kan worden gedwongen toegang te verlenen tot gegevens die op die EU-servers zijn opgeslagen.
Zero-knowledge-architectuur elimineert de zorg over serverlocatie: als er geen persoonlijke gegevens de server bereiken, is de jurisdictie van de server irrelevant. De geanonimiseerde gegevens die de server wel bereiken — versleutelde tokens, gemaskeerde waarden, onomkeerbaar getransformeerde gegevens — zijn geen persoonlijke gegevens onder de GDPR en zijn niet onderworpen aan de overdrachtsanalyse.
Bronnen: