Transfer Impact Assessment (TIA) — Samenvatting
Laatst bijgewerkt: 13 mei 2026
Naar aanleiding van het Schrems II-arrest van het Hof van Justitie van de EU (C-311/18, juli 2020) moeten verwerkingsverantwoordelijken die persoonsgegevens doorgeven aan derde landen een Transfer Impact Assessment documenteren onder AVG art. 44-49 en EDPB-aanbevelingen 01/2020. Deze pagina is de openbare samenvatting van Clozo's interne TIA; de volledige versie is op verzoek aan legal@useclozo.com beschikbaar voor AEPD-inspecteurs en betrokkenen.
Sub-verwerkers waarop deze TIA betrekking heeft
Vier in de VS gevestigde sub-verwerkers: Resend Inc. (transactionele e-mails), Anthropic PBC (AI-tekstverbetering, gebruikt als kernfunctie van de dienst op grond van Art. 6(1)(b) AVG — PII-gereinigd vóór verzending, geen toestemming vereist), Cloudflare Inc. (CDN + edge-beveiliging + R2-opslag), PostHog Inc. (toestemmingsgebonden productanalyse) en Functional Software, Inc. (Sentry — foutmonitoring, EU-regio, SCC getekend). Opmerking: Stripe Payments Europe Ltd. (Ierland, EU) is de gegevensimporteur voor betalingen — geen derdelandsoverdracht; eventuele verdere US-verwerking valt onder Stripes eigen SCC-keten, jaarlijks herbeoordeeld. Elk werkt onder een actieve EU-VS Data Privacy Framework (DPF)-certificering, of Standaardcontractbepalingen (SCC, Uitvoeringsbesluit (EU) 2021/914 van 4 juni 2021), of beide. De volledige lijst met land, doorgiftemechanisme en gegevenscategorieën staat op /subprocessors.
Sub-verwerkers ZONDER TIA-vereiste
Crisp IM SAS (Frankrijk), Geoapify GmbH (Duitsland), Gotenberg (zelf-gehost op Railway EU), VIES (EU-instelling): allemaal actief binnen de EU/EER — geen TIA vereist. Sentry gebruikt zijn EU-regio waar beschikbaar.
Zes-stappenmethodologie volgens EDPB
(1) Ken je doorgiften — elke VS-importeur gedocumenteerd met gegevenscategorieën en volume; (2) Identificeer doorgifte-instrument — DPF primair, SCC reserve; (3) Beoordeel derde-landsrecht — US FISA 702 + EO 12333 + CLOUD Act per importeur geanalyseerd; (4) Identificeer aanvullende maatregelen — versleuteling in transit (TLS 1.3) en at rest (AES-256-equivalent), PII-scrubbing vóór verzending naar Anthropic (apps/common/ai_scrub), gegevensminimalisatie; (5) Implementeer procedurele en contractuele maatregelen — DPA's getekend met elke VS-sub-verwerker; (6) Herbeoordeel met passende tussenpozen — jaarlijkse beoordeling plus bij elk Schrems-III-arrest, DPF-intrekking of sub-verwerker-wijziging.
Conclusie
DPF-certificering plus SCC Module 2/3 plus de hierboven genoemde aanvullende maatregelen bieden een beschermingsniveau dat in wezen gelijkwaardig is aan AVG art. 46. Het restrisico (toegang door VS-overheid via FISA 702) is voor de specifieke doorgiften van Clozo materieel verminderd omdat (a) Anthropic-gegevens vóór verzending PII-geschoond zijn, (b) Stripe geen aanbieder van elektronische communicatiediensten in de zin van FISA 702 is, (c) transactionele e-mailinhoud via Resend niet-commercieel en laag-volume is, (d) Cloudflare-verkeer alleen metadata logt zonder leesbare bedrijfsinhoud. Anthropic is uitdrukkelijk NIET EU-VS DPF gecertificeerd — SCC's zijn het enige doorgiftemechanisme, gedocumenteerd in DPA §7 en Privacybeleid §6.
Vraag de volledige TIA aan
AEPD-inspecteurs en betrokkenen die hun rechten onder AVG art. 15 uitoefenen kunnen het volledige interne TIA-document opvragen per e-mail naar legal@useclozo.com. Het volledige document bevat dreigingsmodellen per importeur, transparantieverslagen en status van juridische beoordeling. De interne TIA wordt aan een Spaanse DPO/raadsman ter beoordeling voorgelegd (doel 2026-Q3) voordat de status van CONCEPT naar ACTIEF wordt overgezet.
Terug naar aanmelden·Privacybeleid·Verwerkersovereenkomst·Sub-verwerkers·Gebruiksvoorwaarden·Wettelijke kennisgeving