EU-gegevensresidentie voor betalingsgegevens is niet langer een optionele best practice: voor Europese bedrijven die onder de AVG vallen, is het overdragen van kaartgegevens naar infrastructuren buiten de Europese Economische Ruimte (EER) een regulatoir risico met concrete aansprakelijkheidsimplicaties. Het Schrems II-arrest van het Europese Hof van Justitie en de recente maatregelen van toezichthoudende autoriteiten hebben aangetoond dat datatransfers naar derde landen onder strenge controle staan. Het bewaren van kaartgegevens binnen de EU-perimeter is een strategische beslissing, niet alleen een technische.
AVG en datatransfers: wat de wet zegt over kaartgegevens buiten de EU
De AVG staat de overdracht van persoonsgegevens aan derde landen (buiten de EER) alleen toe onder bepaalde voorwaarden: het bestemmingsland moet een adequaatheidsbesluit van de Europese Commissie hebben, of er moeten passende waarborgen aanwezig zijn (standaardcontractbepalingen, bindende bedrijfsregels). Het Schrems II-arrest van 2020 heeft het EU-VS Privacy Shield ongeldig verklaard en vraagtekens gezet bij de toereikendheid van standaardcontractbepalingen voor Amerikaanse aanbieders die onder FISA Section 702 en soortgelijke wetten vallen.
Voor kaartgegevens die persoonsgegevens bevatten (PAN + naam kaarthouder) betekent dit: wanneer een Europees bedrijf deze gegevens stuurt naar een aanbieder met Amerikaanse infrastructuur of naar niet-EU-servers, kan die overdracht een AVG-overtreding vormen als er geen precieze juridische garanties aanwezig zijn. Toezichthoudende autoriteiten in Duitsland, Oostenrijk, Frankrijk en andere EU-landen hebben onderzoek gedaan naar aanbieders die persoonsgegevens hebben overgedragen via Amerikaanse diensten zoals Google Analytics en Mailchimp.
Waarom EU-gegevensresidentie voor kaartgegevens belangrijker is dan voor andere gegevens
Kaartgegevens zijn om twee complementaire redenen een bijzonder gevoelige gegevenscategorie. Ten eerste zijn ze als persoonsgegevens beschermd onder de AVG. Ten tweede vallen ze binnen het PCI DSS-bereik: blootstelling ervan stelt een direct financieel risico voor de kaarthouder en de handelaar. De combinatie van deze twee regulatoire lagen betekent dat bedrijven bij een datalek met kaartgegevens mogelijk worden gesanctioneerd door twee verschillende instanties: de toezichthoudende autoriteit (voor de AVG-overtreding) en de acquirer/het kaartnetwerk (voor de PCI DSS-overtreding).
EU-gegevensresidentie verkleint het risico op beide fronten: de gegevens verlaten nooit de EU-rechtsruimte, waardoor er geen problemen ontstaan met overdrachten naar derde landen, en ze worden beschermd door een infrastructuur die voldoet aan strenge Europese beveiligingsnormen. Voor gereguleerde bedrijven (financiële dienstverleners, zorginstellingen, overheidsopdrachtgevers) kan EU-gegevensresidentie ook een sectorspecifieke verplichting zijn.
PCI Proxy EU: gecertificeerde infrastructuur volledig in de EU
PCI Proxy EU is speciaal ontwikkeld voor Europese bedrijven die maximale betalingsbeveiliging moeten combineren met volledige AVG-naleving. De tokenisatiekluis is ondergebracht in Europese datacenters die zich volledig binnen de EER bevinden. Kaartgegevens verlaten nooit de EU-grenzen: vastlegging, opslag, tokenisatie en PAN-overdracht naar de PSP vinden alle plaats binnen de EU-infrastructuur.
Bovendien is PCI Proxy EU gecertificeerd als PCI DSS Level 1, het hoogste niveau, wat betekent dat de beveiligingscontroles de meest stringente zijn die de standaard beschikbaar stelt. Voor Europese bedrijven biedt deze combinatie van EU-gegevensresidentie en PCI Level 1-certificering de meest volledige bescherming voor betalingsgegevens en maakt het mogelijk om beide regulatoire verplichtingen – AVG en PCI DSS – met één enkele integratie te vervullen.
Veelgestelde vragen
Zijn Amerikaanse betalingsaanbieders met standaardcontractbepalingen AVG-conform?
Standaardcontractbepalingen (SCC) zijn een mogelijk juridisch mechanisme voor overdrachten, maar na Schrems II volstaan ze alleen niet meer: er is ook een beoordeling vereist of het bestemmingsland daadwerkelijk bescherming biedt die gelijkwaardig is aan de EU-gegevensbeschermingsnormen. Voor Amerikaanse aanbieders die onder FISA Section 702 vallen, bestaan er aanzienlijke risico's. Het EU-VS Data Privacy Framework (2023) heeft enige verduidelijking gebracht, maar is onderwerp van lopende juridische aanvechting. De veiligste optie voor Europese bedrijven blijft het gebruik van binnen de EU gevestigde infrastructuren.
Vereist de AVG uitdrukkelijk EU-gegevensresidentie voor betalingsgegevens?
De AVG schrijft EU-gegevensresidentie niet uitdrukkelijk voor, maar beperkt internationale overdrachten onder strenge voorwaarden. Het praktische effect is dat EU-gegevensresidentie de eenvoudigste methode is om te verzekeren dat overdrachten niet onderworpen zijn aan AVG-beperkingen. Voor zeer gevoelige gegevens zoals kaartgegevens is EU-gegevensresidentie de minst risicovolle optie vanuit regulatoir oogpunt.
Beïnvloedt EU-gegevensresidentie de betaalprestaties?
In de praktijk niet. Moderne EU-datacenters bieden prestaties op hetzelfde niveau als hun Amerikaanse tegenhangers. Latentie bij betalingstransacties wordt hoofdzakelijk bepaald door de verbinding met de PSP en het kaartnetwerk, niet door de fysieke locatie van de tokenkluis. PCI Proxy EU heeft datacenters in meerdere EU-landen om redundantie en optimale prestaties voor Europese handelaren te garanderen.
Wilt u kaartgegevens in de EU bewaren en tegelijkertijd PCI DSS-conform zijn? Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op