Skip to content
KlantverhaalTarievenBeveiligingVergelijkingBlog

Europe

Americas

Oceania

Gids13 min leestijd

Dataprivacy compliance voorbij de AVG: CCPA, LGPD, POPIA en wereldwijde kaders

Nederlandse bedrijven met internationale activiteiten moeten naast de AVG ook de CCPA, LGPD, POPIA en andere wereldwijde privacywetgeving naleven. Praktische vergelijking van acht regelgevingen, boetestelsels en compliance-vereisten.

Erik van den Berg, Compliance specialist
Erik van den Berg, Compliance specialist·
Illustration for Dataprivacy compliance voorbij de AVG: CCPA, LGPD, POPIA en wereldwijde kaders — Gids

Dit artikel samenvatten met

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Nederlandse bedrijven opereren steeds vaker op internationale markten. Zodra u klanten of medewerkers heeft in Californië, Brazilië, Zuid-Afrika of China, geldt naast de AVG (Verordening EU 2016/679) een reeks aanvullende privacywetgevingen. Elke wet kent eigen definities, rechten, bewaartermijnen en boetestelsels. Wie alleen op AVG-compliance focust, loopt reëel risico op handhavingsacties van buitenlandse toezichthouders. Deze gids vergelijkt de zeven meest relevante wereldwijde privacykaders en biedt een praktisch actieplan voor Nederlandse compliance-teams.

Waarom de AVG Niet Voldoende Is voor Internationale Operaties

De AVG geldt voor verwerking van persoonsgegevens van EU-ingezetenen, ongeacht waar de verwerkingsverantwoordelijke is gevestigd. Maar de wet geldt niet omgekeerd: de AVG biedt geen bescherming aan personen buiten de EU, en voldoen aan de AVG betekent niet automatisch dat u aan de CCPA, LGPD of POPIA voldoet.

Drie structurele verschillen bepalen waarom aanvullende compliance noodzakelijk is. Allereerst hanteren niet-EU-wetten andere werkingssfeer-criteria: de CCPA koppelt de toepasselijkheid aan omzetdrempels en het aantal verwerkte California-inwoners, terwijl de LGPD extraterritoriale werking heeft zodra data van Braziliaanse burgers worden verwerkt of de dienst in Brazilië wordt aangeboden. Ten tweede kennen sommige wetten rechten die de AVG niet kent, zoals het CCPA-recht op opt-out van verkoop van persoonsgegevens. Ten derde verschilt de handhavingsarchitectuur: de POPIA-regulator IOIC kan strafrechtelijke vervolging instellen naast administratieve boetes.

Onderzoek van de International Association of Privacy Professionals (IAPP) uit 2024 registreert 145 landen met nationale privacywetgeving — een verdubbeling in tien jaar.

De Autoriteit Persoonsgegevens (AP) heeft in 2024 haar handhavingsbudget verhoogd en werkt actief samen met zusterorganisaties binnen het European Data Protection Board (EDPB). Maar AP-conformiteit vrijwaart u niet van een aanklacht van de California Attorney General of de Braziliaanse ANPD.

Vergelijkingstabel: Zeven Wereldwijde Privacywetgevingen

Wet Rechtsgebied Werkingssfeer Kernrechten Maximale boete Toezichthouder
AVG (EU 2016/679) EU/EER Alle verwerkingsverantwoordelijken die EU-ingezetenen bedienen Inzage, rectificatie, verwijdering, bezwaar, portabiliteit, geen geautomatiseerde besluitvorming EUR 20 mln of 4% wereldwijde omzet Nationale AP's + EDPB
CCPA/CPRA (Cal. Civ. Code §1798) Californië, VS Bedrijven >$25 mln omzet of >100.000 Californische consumers of >50% omzet uit dataverkoop Weten, verwijderen, opt-out van verkoop/delen, geen discriminatie, correctie $7.500 per opzettelijke overtreding (AG), $100-750 per consument per incident (privé) California Privacy Protection Agency (CPPA)
LGPD (Lei 13.709/2018) Brazilië Verwerking in Brazilië of van Braziliaanse burgers; data die in Brazilië zijn verzameld Bevestiging, toegang, correctie, anonimisering, overdraagbaarheid, verwijdering, revocatie toestemming 2% van de Braziliaanse omzet, max BRL 50 mln per overtreding Autoridade Nacional de Proteção de Dados (ANPD)
POPIA (Act 4 of 2013) Zuid-Afrika Verantwoordelijken in Zuid-Afrika of die gebruik maken van apparatuur in Zuid-Afrika Toegang, correctie, verwijdering, bezwaar, klachtrecht ZAR 10 mln (~EUR 510.000) + gevangenisstraf tot 10 jaar Information Regulator (IOIC)
PIPL (VRC, van kracht nov. 2021) China Verwerking van persoonsgegevens van Chinese burgers buiten China indien diensten worden aangeboden Inzage, correctie, verwijdering, overdraagbaarheid, intrekking toestemming, uitleg geautomatiseerde beslissingen CNY 50 mln (~EUR 6,5 mln) of 5% van voorgaand jaar omzet in China Cyberspace Administration of China (CAC)
DPDPA (India, aug. 2023) India Digitale verwerking van persoonsgegevens in India of van Indian data principals door niet-Indiase entiteiten Correctie, aanvulling, verwijdering, grievance redressal, nomineren vertegenwoordiger INR 2.500 crore (~EUR 270 mln) Data Protection Board of India (nog in oprichting)
APPI (Japan, herziening 2022) Japan Bedrijven die persoonsgegevens verwerken van meer dan 5.000 Japanse personen Openbaar maken, correctie, gebruik-stopzetting, overdracht-stopzetting JPY 100 mln (~EUR 600.000) bedrijf; JPY 1 mln individu Personal Information Protection Commission (PPC)

AVG versus CCPA: Wat Betekent Dit voor Nederlandse Bedrijven met Amerikaanse Klanten?

De CCPA (California Consumer Privacy Act), in werking getreden op 1 januari 2020 en aangescherpt door de CPRA per 1 januari 2023, is de meest vergaande Amerikaanse privacywet. Zij geldt voor uw Nederlandse onderneming zodra u jaarlijks meer dan 100.000 California-inwoners verwerkt, of meer dan 25 miljoen dollar omzet maakt, ongeacht waar uw servers staan.

Het meest in het oog springende verschil met de AVG is het "opt-out of sale"-recht: Californische consumenten mogen eisen dat hun gegevens niet worden verkocht of gedeeld voor cross-context behavioral advertising. De CCPA definieert "verkoop" ruimer dan de AVG: ook het doorsturen van cookie-data aan advertentienetwerken geldt als verkoop. U dient een expliciete "Do Not Sell or Share My Personal Information"-link op uw website te plaatsen.

Andere CCPA-specifieke vereisten die de AVG niet kent:

  • Verplichte categorieënlijst van verzamelde persoonsgegevens in het privacybeleid
  • Recht op beperking van het gebruik van gevoelige persoonsgegevens (sensitive personal information)
  • Verplichte reactietermijn van 45 dagen op verzoeken (verlengbaar met 45 extra dagen)
  • Opt-in vereiste voor verkoop van persoonsgegevens van minderjarigen onder 16 jaar

De California Privacy Protection Agency publiceerde in 2024 haar eerste handhavingsdossiers en legde boetes op van meerdere honderdduizenden dollars aan niet-Californische bedrijven die de "Do Not Sell"-link niet hadden geïmplementeerd.

De AVG kent geen equivalent van de CCPA-privérechtvordering (private right of action) bij datalekken: Californische consumenten kunnen u individueel aanspreken voor USD 100 tot USD 750 per persoon per incident, zelfs zonder aantoonbare schade.

LGPD: Brazilië als Verplicht Compliance-Terrein

Brazilië telt 215 miljoen inwoners en is de negende economie ter wereld. De Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018), van kracht per 18 september 2020 met handhaving vanaf augustus 2021, is nauw gemodelleerd naar de AVG maar bevat relevante afwijkingen.

De LGPD kent tien rechtsgrondslagen voor verwerking, twee meer dan de AVG. Naast toestemming en legitiem belang introduceert de wet "bescherming van krediet" als zelfstandige grondslag — relevant voor financiële dienstverleners. Ook "tutela van gezondheid" is een aparte grondslag, waarvoor geen toestemming vereist is bij behandeling door een zorgprofessional.

Internationale doorgifte onder de LGPD verschilt substantieel van de AVG. De ANPD heeft een positieve adequaatheidsbeslissing voor de EU genomen in 2023, waardoor data-overdrachten EU-Brazilië zijn vereenvoudigd. Maar voor overdrachten naar derde landen gelden de LGPD-vereisten afzonderlijk: u dient ofwel specifieke toestemming te verkrijgen, ofwel standaardcontractbepalingen (clausulas-padrão) te gebruiken die door de ANPD zijn goedgekeurd.

De ANPD kan per overtreding een boete opleggen tot 2% van de Braziliaanse omzet van de rechtspersoon in het voorgaande boekjaar, met een absoluut maximum van BRL 50 miljoen (~EUR 9 miljoen). Bij meerdere overtredingen worden boetes gecumuleerd.

POPIA: Zuid-Afrika en de Risico's van Strafrechtelijke Handhaving

De Protection of Personal Information Act (POPIA, Act 4 of 2013) is volledig van kracht per 1 juli 2021 na een jaar overgangstermijn. POPIA wijkt op één cruciaal punt af van de AVG en LGPD: de Information Regulator (IOIC) kan strafrechtelijke vervolging instellen, wat kan leiden tot gevangenisstraf van maximaal tien jaar voor leidinggevenden van de overtredende organisatie.

POPIA introduceert de functie van "Information Officer" — vergelijkbaar met een functionaris voor gegevensbescherming (FG) — die verplicht moet worden aangesteld en geregistreerd bij de IOIC. Voor grote verwerkingsverantwoordelijken geldt de verplichting om een Deputy Information Officer aan te stellen. De IOIC heeft haar eerste grootschalige handhavingsactie uitgevoerd in 2023 tegen een Zuidafrikaanse bank, met een boete van ZAR 5 miljoen.

De Information Regulator South Africa publiceert actief handhavingsbeschikkingen op haar website en heeft in 2024 haar first annual report uitgebracht met 186 klachten in behandeling.

Nederlandse bedrijven met activiteiten in Zuid-Afrika — via dochterondernemingen, agenten of directe dienstverlening aan Zuidafrikaanse burgers — vallen onder POPIA zodra zij gebruik maken van geautomatiseerde of gestructureerde handmatige verwerking.

PIPL, DPDPA en APPI: De Opkomende Kaders

China PIPL: Strenge Regels voor Data-Uitvoer

De Chinese Personal Information Protection Law (PIPL), van kracht per 1 november 2021, introduceert een van de strengste data-localiseringsregimes ter wereld. Het exporteren van "important data" vereist een beveiligingsbeoordeling door de Cyberspace Administration of China (CAC). Voor gewone persoonsgegevens geldt een drempel: zodra u meer dan 100.000 personen verwerkt per jaar, is een CAC-beveiligingsbeoordeling verplicht voor uitvoer. Bij minder dan 100.000 personen volstaat een Standard Contract.

De PIPL beboet overtreders tot CNY 50 miljoen of 5% van de jaaromzet in China, plus eventuele intrekking van de bedrijfsvergunning.

India DPDPA: Snelst Groeiende Markt, Wet in Opbouw

De Digital Personal Data Protection Act (DPDPA), aangenomen in augustus 2023, is de eerste uitgebreide privacywet van India. De uitvoeringsregels zijn nog in ontwikkeling; de Data Protection Board of India wordt opgericht. Verwerkers die gegevens van Indiase burgers verwerken worden "data fiduciaries" genoemd. Significant data fiduciaries — grote platforms, aangewezen door de centrale overheid — krijgen extra verplichtingen, waaronder een Data Protection Officer in India.

De maximale boete bedraagt INR 250 crore (~EUR 27 miljoen) per overtreding voor het zwaarste categorie overtredingen; voor de ernstigste klasse (datalekken bij minderjarigen) loopt de boete op tot INR 200 crore (~EUR 21,5 miljoen).

Japan APPI: Herzien met Europese Invloeden

De Act on the Protection of Personal Information (APPI), herzien per april 2022, introduceert meldplicht voor datalekken (binnen 72 uur bij ernstige incidenten — identiek aan de AVG) en een recht op gegevensoverdraagbaarheid voor bepaalde categorieën. Japan geniet een adequaatheidsbeslissing van de Europese Commissie, wat doorgifte vanuit de EU vereenvoudigt. De PPC kan bestuursdwang opleggen; bij niet-nakoming volgt strafrechtelijke aansprakelijkheid.

Hoe Nederlandse Bedrijven een Geïntegreerd Compliance-Programma Opbouwen

Een effectief internationaal privacy-programma begint met jurisdictionele mapping: voor elk land waar u klanten, medewerkers of leveranciers heeft, stelt u vast welke privacywet(ten) van toepassing zijn. Vervolgens identificeert u de aanvullende vereisten bovenop uw AVG-baseline.

Praktische stappen voor Nederlandse organisaties:

  1. Datamapping uitbreiden met jurisdictie-labels. Uw verwerkingsregister (AVG-vereiste) dient te worden uitgebreid met het land van herkomst van de betrokkenen. Zo kunt u snel bepalen welke aanvullende wetten van toepassing zijn.

  2. Rechtsgrondslagen per jurisdictie valideren. Een AVG-legitiem belang-grondslag is niet automatisch geldig onder de LGPD of PIPL. Controleer per wet of uw gekozen grondslag erkend is.

  3. Privacyverklaringen lokaliseren. De CCPA vereist specifieke taalformuleringen en de "Do Not Sell"-link. De POPIA vereist vermelding van de Information Officer. Uw AVG-privacyverklaring voldoet niet automatisch aan deze eisen.

  4. Internationale doorgiftetermijnen herzien. Elke wet heeft eigen mechanismen voor grensoverschrijdende overdrachten. AVG-SCCs (Standard Contractual Clauses) zijn niet automatisch geldig voor PIPL-compliance.

  5. Datalekprocedures multi-jurisdictioneel inrichten. De AVG eist melding binnen 72 uur aan de AP; de APPI eveneens. De LGPD vereist melding "in redelijke termijn"; de POPIA zo snel als redelijkerwijs mogelijk. Uw incident response plan dient alle relevante toezichthouders te benoemen.

Voor documentintensieve processen — KYC-onboarding, identiteitsverificatie, contractbeheer — biedt geautomatiseerde documentvalidatie een dubbel voordeel: snelheid en aantoonbare compliance. Het CheckFile-platform heeft meer dan 2,4 miljoen documenten verwerkt in 32 jurisdicties, waarbij enterprise-klanten hun verwerkingstijd met 83% hebben gereduceerd terwijl de audit-compliancerate op 99,2% ligt. Dit soort gedocumenteerde verwerkingsprocessen is precies wat toezichthouders onder alle zeven besproken wetten verwachten bij een audit.

Meer over het opbouwen van een robuust compliance-programma leest u in onze compliance audit checklist en onze AVG-gids voor identiteitsdocumenten.

De Rol van Documentverificatie in Multi-Jurisdictionele Privacy Compliance

Identiteitsverificatie en KYC-processen zijn het raakvlak waar dataprivacy en documentcompliance samenkomen. Elke wet die hierboven is besproken, stelt eisen aan hoe u identiteitsbewijzen verwerkt, bewaart en beschermt.

Dataminimalisatie is de meest consistente eis over alle zeven kaders heen. Zowel de AVG (artikel 5(1)(c)), de LGPD (artikel 6 VIII), de POPIA (section 10) als de PIPL (artikel 6) vereisen dat u niet meer persoonsgegevens verzamelt dan noodzakelijk voor het opgegeven doel. Bij handmatige documentverificatie is dit principe moeilijk te handhaven: medewerkers zien en registreren alle informatie op een document. Geautomatiseerde verificatiesystemen kunnen worden geconfigureerd om alleen de relevante velden te extraheren en de rest te maskeren.

Bewaartermijnen variëren significant per jurisdictie. Onder de AVG en UAVG geldt de Wwft-bewaartermijn van vijf jaar voor KYC-documenten. De CCPA kent geen specifieke bewaartermijnen maar vereist dat u geen gegevens langer bewaart dan nodig. De LGPD stelt dat verwerking eindigt zodra het doel is bereikt, tenzij een wettelijke bewaarplicht van toepassing is. Uw documentmanagementsysteem moet per categorie document de toepasselijke bewaartermijnen per jurisdictie kunnen hanteren.

Verwerkingsregistratie als audit trail. Alle zeven wetten voorzien in handhavingsbevoegdheden die toegang tot verwerkingsregisters impliceren. Een geautomatiseerd platform dat elke verificatiehandeling logt — wie heeft welk document wanneer gecontroleerd, welke beslissing is genomen, welke gegevens zijn geëxtraheerd — levert precies het auditvermogen dat toezichthouders verwachten.

Bekijk de CheckFile beveiligingspagina voor technische details over hoe documentverificatie privacy-by-design implementeert, of de overzichtspagina documentverificatie voor een volledig beeld van geautomatiseerde verificatieprocessen.

Veelgestelde vragen

Geldt de CCPA ook voor een Nederlands bedrijf dat geen vestiging heeft in de VS?

Ja. De CCPA hanteert een extraterritoriale werkingssfeer die vergelijkbaar is met de AVG. Zodra uw Nederlandse onderneming voldoet aan ten minste één van de drempelcriteria — jaaromzet boven USD 25 miljoen, verwerking van persoonsgegevens van meer dan 100.000 Californische inwoners of huishoudens per jaar, of meer dan 50% van de jaaromzet uit de verkoop van persoonsgegevens van Californische inwoners — geldt de CCPA ongeacht uw vestigingslocatie. De California Privacy Protection Agency (CPPA) heeft in haar handhavingsrichtlijnen expliciet bevestigd dat ook buitenlandse bedrijven worden aangesproken.

Wat zijn de concrete verschillen tussen AVG-toestemming en LGPD-toestemming?

Beide wetten vereisen vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming. De LGPD (artikel 8) voegt hieraan toe dat toestemming "in duidelijke en ondubbelzinnige taal" moet zijn gegeven, en dat de bewijslast voor het bestaan van geldige toestemming bij de verwerkingsverantwoordelijke ligt — identiek aan de AVG. Het grootste praktische verschil is dat de LGPD uitdrukkelijk bepaalt dat toestemming niet de enige rechtsgrond mag zijn voor verwerking die ook op een andere LGPD-grondslag kan worden gebaseerd. De ANPD heeft in 2023 richtsnoeren gepubliceerd die sterk lijken op de EDPB-richtsnoeren over toestemming.

Hoe zwaar is de handhaving onder POPIA vergeleken met de AVG?

POPIA onderscheidt zich door de strafrechtelijke component: naast een administratieve boete van maximaal ZAR 10 miljoen kan de Information Regulator een zaak doorverwijzen naar het Openbaar Ministerie, wat kan leiden tot gevangenisstraf van maximaal tien jaar voor individuele leidinggevenden. De AVG kent geen equivalent. Praktisch gezien is de IOIC minder actief dan de grotere Europese dataprivacytoezichthouders (zoals de Ierse DPC of de CNIL), maar de handhavingscapaciteit groeit gestaag. In 2023 zijn de eerste significante boetes opgelegd.

Moeten wij afzonderlijke privacyverklaringen opstellen per jurisdictie?

Niet noodzakelijkerwijs afzonderlijke documenten, maar uw privacyverklaring moet per jurisdictie voldoen aan de specifieke openbaarmakingsvereisten. De CCPA vereist specifieke taalformuleringen over "Do Not Sell or Share", categorieën van gedeelde gegevens en een expliciete link in de website-footer. De POPIA vereist vermelding van de Information Officer en zijn contactgegevens. De PIPL vereist een aparte "personal information processing notice" in vereenvoudigd Chinees. Een gelaagde privacyverklaring — een algemene kern aangevuld met jurisdictie-specifieke bijlagen — is de meest efficiënte aanpak.

Wat is de prioriteringsvolgorde als wij niet alle wetten tegelijk kunnen implementeren?

Prioriteer op basis van blootstellingsrisico. Verwerk eerst de jurisdictie waar u de meeste betrokkenen heeft en waar de boetes het hoogst zijn relatief aan uw omzetblootstelling. Voor de meeste Nederlandse bedrijven is dat: (1) AVG als basisvereiste, (2) CCPA indien u actief bent in de VS, (3) LGPD indien u actief bent in Brazilië, (4) PIPL indien u actief bent in China. POPIA, DPDPA en APPI volgen daarna. Gebruik uw GDPR-verwerkingsregister als vertrekpunt en voeg jurisdictielabels toe om de scope snel te bepalen.

Deze gids is uitsluitend bedoeld voor informatieve doeleinden en vormt geen juridisch advies. Raadpleeg een gekwalificeerd privacy-jurist voor advies dat is toegespitst op de specifieke omstandigheden van uw organisatie.

Verdiep u in het onderwerp

Ontdek onze praktische gidsen en bronnen over documentcompliance.

Gerelateerde artikelen

Gids11 min

Compliance audit checklist: hoe u zich voorbereidt op een toezichtcontrole

Complete compliance audit checklist voor KYC/AML-controles. Stappen, vereiste documenten en beste praktijken voor DNB- en AFM-inspecties.

Lezen
Gids8 min

Elektronisch archiveren: wettelijke vereisten, best practices en tools

Volledige gids over elektronisch archiveren in Nederland: wettelijke verplichtingen, bewaartermijnen, technische normen, tools en best practices voor bedrijven in 2026.

Lezen
Gids10 min

Antifraude documentverwerking: best practices voor teams

Best practices antifraude voor documentverwerkingsteams. Detectie van valse documenten, interne controles, training en AI-tools binnen het Nederlands juridisch kader.

Lezen