Blog

Geldt de AVG voor mijn Amerikaans bedrijf? (3-staps zelfevaluatie)

De AVG kan van toepassing zijn op uw website, ook als u in de VS gevestigd bent. Gebruik deze checklist van 3 stappen om te beoordelen of u risico loopt en wat de mogelijke financiële gevolgen zijn.

Jan 08, 2026 • 12 min read

Juan Combariza Growth Marketer

Does-gdpr-apply-to-u-s-companies-self-assessment

TL;DR

De AVG is van toepassing op elk bedrijf dat bewust EU-inwoners target of hun online gedrag monitort. Daarnaast kan een "EU-vestiging" — zoals een medewerker of kantoor dat permanent in de EU gevestigd is — de toepasselijkheid van de AVG activeren.
Hoewel de AVG van toepassing is op meer bedrijven dan velen beseffen, hebben EU-toezichthouders beperkte bevoegdheid om bedrijven die uitsluitend in de VS of buiten de EU actief zijn direct te beboeten. In die gevallen sturen toezichthouders eerder waarschuwingen of corrigerende richtlijnen dan dat zij boetes opleggen.
Amerikaanse staatsprivacywetten (zoals de CCPA) nemen vergelijkbare verwachtingen over als de AVG op het gebied van beveiliging bij datalekken, grensoverschrijdende gegevensoverdracht en bedrijfsaansprakelijkheid voor gegevensverwerking door scripts van derden.
Het gebruik van analytics, heatmaps of advertentiepixels die EU-bezoekers online volgen, wordt beschouwd als monitoring en kan AVG-nalevingsvereisten activeren.

Zelfevaluatie checklist - Geldt de AVG voor mijn website?

Bezoekers van over de hele wereld bezoeken uw website, waardoor het lastig is te begrijpen welke privacywetten op u van toepassing zijn en welke een reëel risico op financiële sancties met zich meebrengen. De toepasselijkheid van de AVG hangt niet af van waar u geregistreerd bent. Wat telt, is of u persoonsgegevens van EU-burgers verwerkt en wat u daarmee doet.

Elke website verwerkt persoonsgegevens op manieren die niet altijd voor de hand liggen. Denk aan formulieren die namen en e-mailadressen verzamelen, of aan scripts van derden die gegevens doorsturen naar servers waar u niet van op de hoogte bent. Elk daarvan is een AVG-nalevingsrisico als het gaat om gegevens van EU-inwoners.

Dit artikel biedt een duidelijke checklist om te bepalen of u onder de AVG valt.

Geldt de AVG voor mijn website? (Toepasselijkheidscriteria)

De territoriale reikwijdte van de AVG is vastgelegd in artikel 3 van de verordening. Deze is gebaseerd op twee hoofdcriteria:

Vestiging
Targeting

Slechts één van deze criteria hoeft van toepassing te zijn. Als dat het geval is, geldt de AVG. De AVG is echter alleen van toepassing op de specifieke verwerkingsactiviteiten die de toepasselijkheid hebben getriggerd. De verordening neemt niet uw gehele organisatie over, alleen de relevante gegevensverwerking.

3-staps zelfevaluatie — Toepasselijkheid van de AVG

Stap 1: Bent u gevestigd in de EU?

U heeft een EU-vestiging als u actief bent via een stabiele structuur in een lidstaat (dit vereist geen formeel kantoor). De drempel voor een EU-aanwezigheid is vrij laag; zelfs één medewerker of vertegenwoordiger in de EU kan voldoende zijn als deze op stabiele basis actief is.

U heeft waarschijnlijk een EU-vestiging als u beschikt over:

Een filiaal, dochteronderneming of geregistreerd kantoor in een lidstaat
Een medewerker, verkoopvertegenwoordiger of agent die regelmatig in de EU werkzaam is
Omzetgenererende activiteiten in de EU die gekoppeld zijn aan uw gegevensverwerking

Als de gegevensverwerking van uw website verband houdt met die EU-activiteiten, is de AVG van toepassing. Zo niet, ga dan verder naar stap 2.

Stap 2: Target u bewust EU-gebruikers?

De AVG is van toepassing als uw website goederen of diensten aanbiedt aan personen in de EU. Het aanbod moet bewust zijn, niet toevallig. Het feit dat EU-gebruikers uw website bezoeken is op zichzelf onvoldoende om de toepasselijkheid te activeren.

Volgens de richtlijnen van de European Data Protection Board (EDPB) zijn de volgende factoren tekenen van bewuste targeting:

Het noemen van de EU of specifieke lidstaten in verband met aangeboden goederen of diensten
Betalen voor zoekmachineadvertenties gericht op EU-doelgroepen
Gebruik van EU-topleveldomeinen (.de, .fr, .eu) in plaats van het domein van uw eigen land
Het aanbieden van levering van goederen naar EU-lidstaten
Het weergeven van prijzen in euro's in combinatie met bestelingsmogelijkheden
Verwijzen naar EU-klanten of getuigenissen

Als u geen EU-gebruikers target, ga dan verder naar stap 3.

Stap 3: Monitort u het gedrag van EU-bezoekers?

De AVG is van toepassing als u personen die zich in de EU bevinden volgt of profileert. Overweging 24 definieert monitoring als:

"het volgen van natuurlijke personen op internet, inclusief profilering om hun voorkeuren, gedragingen en attitudes te analyseren of te voorspellen."

De volgende activiteiten worden doorgaans als monitoring beschouwd:

Retargeting en gedragsgerichte advertenties
Verzamelen van cookies, vingerafdrukken of identificatoren gekoppeld aan individuen
Sessie-opnametools en heatmaps gekoppeld aan specifieke gebruikers
Locatietracking voor personalisatie of marketing

Puur geaggregeerde, geanonimiseerde statistische gegevens zonder koppeling aan individuele gebruikers vormen in het algemeen geen monitoring. "AVG-vriendelijke" analytictools zijn gebouwd om toestemmingsvrije gegevens te gebruiken.

De AVG is op u van toepassing als uw website een van de bovenstaande activiteiten uitvoert voor bezoekers die zich in de EU bevinden, ook als u nooit de intentie had om zaken te doen in Europa.

Geldt de AVG voor Amerikaanse bedrijven?

Ja. De AVG kan absoluut van toepassing zijn op Amerikaanse bedrijven. De locatie van uw bedrijf bepaalt de toepasselijkheid van de AVG niet.

Als uw bedrijf persoonsgegevens van EU-burgers verwerkt — via goederen of diensten, door EU-inwoners in dienst te nemen, of door het online gedrag van EU-burgers te monitoren — valt uw organisatie onder de AVG.

In plaats van waar u gevestigd bent, is het volgende van belang:

Wie bezoekt uw site? [Maken personen die zich in de EU bevinden gebruik van uw website?]
Hoe verwerkt uw site hun gegevens? [Verzamelt u persoonsgegevens, volgt u gedrag, of biedt u hen goederen en diensten aan?]

U heeft geen kantoren, medewerkers of enige fysieke aanwezigheid in Europa nodig voor de AVG om op uw bedrijf van toepassing te zijn. Noch de omvang van uw bedrijf, noch de hoeveelheid gegevens die u verwerkt, is daarvoor bepalend.

Veelvoorkomende AVG-triggers voor Amerikaanse websites

EU-bezoekers hebben en hun gedrag volgen is voldoende grond om binnen de reikwijdte van de AVG te vallen. Gedragsvolging omvat elk van de onderstaande populaire tools. Mogelijk heeft u ook ongeautoriseerde verborgen datatrackers, zoals scripts van derden die gegevens overcollecteren — per ongeluk of met kwaadaardige bedoelingen. U kunt alle dataverzamelaars van derden op uw website monitoren met een client-side compliance tool.

Voorbeelden van websitegegevensverwerking die de toepasselijkheid van de AVG kunnen activeren

  <thead>
    <tr>
      <th>Categorie</th>
      <th>Voorbeelden</th>
      <th>Waarom de AVG van toepassing is</th>
    </tr>
  </thead>

  <tbody>
    <tr class="section-row">
      <td colspan="3">CLIENT-SIDE TRACKING</td>
    </tr>

    <tr>
      <td><strong>Analytics</strong></td>
      <td>Google Analytics, Adobe Analytics</td>
      <td>Cookies en tracking van EU-bezoekers</td>
    </tr>
    <tr>
      <td><strong>Advertentiepixels</strong></td>
      <td>Meta Pixel, Google Ads etc.</td>
      <td>Monitoring van gebruikersgedrag voor retargeting</td>
    </tr>
    <tr>
      <td><strong>Sessieopname</strong></td>
      <td>Hotjar, FullStory, Mouseflow</td>
      <td>Legt gedrag en interacties van EU-gebruikers vast</td>
    </tr>
    <tr>
      <td><strong>Leadcaptureformulieren</strong></td>
      <td>HubSpot, Mailchimp</td>
      <td>Verzamelt persoonsgegevens van EU-bezoekers</td>
    </tr>
    <tr>
      <td><strong>Ingebedde diensten</strong></td>
      <td>YouTube, Google Maps, sociale widgets</td>
      <td>Verwerking door derden betekent gezamenlijk verwerkersverantwoordelijkheid</td>
    </tr>

    <tr class="section-row">
      <td colspan="3">SERVER-SIDE VERWERKING</td>
    </tr>

    <tr>
      <td><strong>Klantendatabases</strong></td>
      <td>PostgreSQL, CRM's, cloudopslag</td>
      <td>Opslaan van EU-klantgegevens en persoonsgegevens</td>
    </tr>
    <tr>
      <td><strong>E-commerce</strong></td>
      <td>Shopify, WooCommerce</td>
      <td>Verwerken van aankopen en betalingen van EU-klanten</td>
    </tr>
    <tr>
      <td><strong>E-mailmarketing</strong></td>
      <td>Mailchimp, SendGrid</td>
      <td>Versturen van e-mails naar EU-abonnees</td>
    </tr>
  </tbody>
</table>

Kunnen AVG-boetes worden opgelegd aan uitsluitend in de VS gevestigde bedrijven?

Niet rechtstreeks, tenzij u een verbinding met de EU heeft zoals hierboven in dit artikel beschreven.

Hebben EU-toezichthouders bevoegdheid over Amerikaanse bedrijven?

EU-gegevensbeschermingsautoriteiten hebben geen jurisdictie binnen de Verenigde Staten. Daarom zijn die toezichthoudende instanties afhankelijk van andere jurisdicties om hun boetes te handhaven bij entiteiten buiten de EU.

Hier is een voorbeeld van EU-toezichthouders die een Amerikaans bedrijf aanpakken:

De UK ICO heeft een waarschuwing gestuurd aan de Washington Post over de manier waarop het toestemming voor cookies verkreeg. De ICO merkte echter op dat er weinig te doen was als de Washington Post besloot zijn praktijken niet te wijzigen.

AVG-handhaving voor Amerikaanse bedrijven

Voor bedrijven zonder enige EU-aanwezigheid is regelgevende handhaving zeldzaam. Deze beperkt zich doorgaans tot onderzoeken, nalevingsmededelingen en regelgevende verboden. Toezichthouders kunnen niet-naleving ook openbaar maken, wat onbedoeld reputatieschade kan veroorzaken.

Handhavingsdruk neemt toe bij elke EU-verbinding

AVG-toezichthouders krijgen meer invloed als u beschikt over:

EU-klanten of -omzet
EU-medewerkers of -aannemers
EU-gebaseerde infrastructuur of leveranciers
EU-bankrekeningen of -activa
Een op de EU gerichte website of gelokaliseerd aanbod

Op dat moment wordt handhaving concreet. Bedrijfsbeperkingen kunnen bestaan uit opdrachten om specifieke gegevensverwerkingsactiviteiten te staken of diensten voor EU-klanten op te schorten totdat naleving is bereikt. Toezichthouders kunnen u in feite dwingen te stoppen met het bedienen van Europese klanten.

Multinationale bedrijven worden het hardst getroffen door AVG-boetes

AVG-handhaving tegen Amerikaanse bedrijven verschilt per EU-lidstaat. West-Europese landen zoals het VK, Frankrijk en Ierland zijn agressief geweest in het opleggen van AVG-boetes en het starten van onderzoeken tegen Amerikaanse bedrijven.

De grootste AVG-boetes zijn allemaal gericht op bedrijven met een grote EU-aanwezigheid:

Voorbeelden van opmerkelijke AVG-boetes en de EU-verbinding die handhaving activeerde

  <thead>
    <tr>
      <th>Bedrijf</th>
      <th>Boete</th>
      <th>EU-verbinding</th>
    </tr>
  </thead>

  <tbody>
    <tr>
      <td><strong>Meta</strong></td>
      <td>€1,2 miljard</td>
      <td>Meta droeg stelselmatig gegevens van EU-gebruikers over naar de Verenigde Staten zonder de vereiste beschermingsmaatregelen</td>
    </tr>
    <tr>
      <td><strong>Amazon</strong></td>
      <td>€746 miljoen</td>
      <td>Hoofdkantoor in Luxemburg</td>
    </tr>
    <tr>
      <td><strong>Google</strong></td>
      <td>€90 miljoen</td>
      <td>Franse gegevensbeschermingsautoriteiten stelden vast dat algemene toestemmingsformulieren en vooraf aangevinkte vakjes niet voldoende waren als geldige toestemming</td>
    </tr>
    <tr>
      <td><strong>Marriott</strong></td>
      <td>£18,4 miljoen</td>
      <td>Het datalek bracht uiteindelijk de wachtwoorden en creditcardgegevens van miljoenen EU-inwoners in gevaar</td>
    </tr>
  </tbody>
</table>

Voor een bedrijf dat uitsluitend in de VS actief is, zonder EU-aanwezigheid, zonder EU-klanten en zonder de intentie om de Europese markt te betreden, is het directe handhavingsrisico laag. Maar dat is een smalle categorie, en die wordt kleiner naarmate bedrijven internationaler worden en andere drukfactoren (hieronder besproken) AVG-conforme naleving toch noodzakelijk maken.

Moeten uitsluitend in de VS gevestigde bedrijven zich druk maken om de AVG?

Ja. Dit is waarom.

Privacywetten verspreiden zich over Amerikaanse staten.

Amerikaanse staatsprivacywetten hebben aan momentum gewonnen, met elk jaar nieuwe wetten die worden ingediend, aangenomen en van kracht worden. Het was nog niet zo lang geleden, in 2018, dat de California Consumer Privacy Act de eerste uitgebreide Amerikaanse staatsprivacywet werd die werd aangenomen. Sindsdien hebben veel staten hun eigen wetten aangenomen, met handhaving die in 2026 begint.

Jaar	Staten die wetten hebben aangenomen
2018	California (CCPA)
2021	Virginia, Colorado
2022	Utah, Connecticut
2023	Delaware, Indiana, Iowa, Montana, Oregon, Tennessee, Texas
2024	New Hampshire, New Jersey, Kentucky, Maryland, Minnesota, Nebraska, Rhode Island

Op het moment van publicatie hebben 20 Amerikaanse staten uitgebreide privacywetten voor consumentengegevens aangenomen.

Deze wetten reguleren hoe bedrijven gegevens mogen verzamelen, wat zij moeten bekendmaken, hoe gebruikers zich kunnen afmelden en welke beveiligingsmaatregelen moeten worden gehandhaafd.

Amerikaanse staatsprivacywetten zijn rechtstreeks gebaseerd op de AVG

De wetten van Colorado, Connecticut, Delaware, Oregon, Indiana, Iowa, Tennessee, Virginia en Utah nemen terminologie over van de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie en zijn van toepassing op "verwerkingsverantwoordelijken" en "verwerkers".

De meest gangbare aanpak in Amerikaanse staatsprivacywetten weerspiegelt de AVG, die vereist dat een beoordeling minimaal de risico's en voordelen van de verwerking voor individuen bevat.

Als u uw website AVG-conform bouwt, voldoet u al grotendeels aan de Amerikaanse staatswetten. Het omgekeerde geldt ook. AVG-achtige vereisten negeren betekent waarschijnlijk dat u ook binnenlandse wetten overtreedt.

Websites moeten nu universele opt-outsignalen respecteren

Veel Amerikaanse staten vereisen nu dat websites op browsers gebaseerde privacysignalen detecteren en respecteren, met name het Global Privacy Control (GPC).

Vanaf 1 juli 2025 verplichten tien Amerikaanse staten websites om UOOM-signalen te respecteren. Deze staten zijn California, Colorado, Connecticut, Delaware, Montana, Nebraska, New Hampshire, New Jersey, Oregon, Minnesota, Maryland en Texas.

California, Colorado en Connecticut hebben een gezamenlijk onderzoek aangekondigd gericht op bedrijven die GPC-opt-outs niet respecteren.

In de praktijk betekent dit dat:

Als de browser van een bezoeker een GPC-signaal verzendt, uw website dit moet behandelen als een geldig opt-outverzoek
De procureur-generaal van California het standpunt heeft ingenomen dat verzoeken om af te melden via het Global Privacy Control door betrokken bedrijven moeten worden gehonoreerd als een geldig consumentenverzoek om de verkoop of het delen van persoonsgegevens te stoppen.
Het niet respecteren van deze signalen al wordt gehandhaafd (California's eerste openbare CCPA-handhavingsactie tegen Sephora verwees naar niet-naleving van GPC)

Als uw website deze signalen technisch niet kan detecteren en erop kan reageren, voldoet u niet aan de vereisten — ook als u nooit de intentie had om zaken te doen buiten uw eigen staat.

Verminder privacyovertredingen door scripts van derden met Privacy Watch

Doorheen dit artikel hebben we benadrukt dat, ongeacht of gebruikers cookies accepteren of weigeren, verkeerd geconfigureerde of kwaadaardige scripts hun privégegevens nog steeds kunnen lekken.

Cookietoestemmingsbanner beheren voorkeuren. Ze handhaven geen gedrag. En onder de AVG bent u verantwoordelijk voor wat elk script op uw website doet.

PrivacyWatch is de client-side privacycompliancetool van cside die scripts van derden monitort om u te waarschuwen voor mogelijke overtredingen of openingen voor datalekken.

cside biedt geautomatiseerde compliancerapportage voor AVG-, CCPA- en HIPAA-regelgeving, met gedetailleerde audittrails die uw naleving aantonen tijdens regelgevende inspecties.

Met cside PrivacyWatch kunt u:

Zien welke gegevens door scripts worden benaderd en waarheen ze worden verzonden
Gegevenstoegang en -injectie monitoren om ongeautoriseerde tracking te stoppen
Wijzigingen in code van derden op uw site identificeren die van invloed zijn op hoe uw website met gegevens omgaat
Aantonen dat client-side privacy- en beveiligingsmaatregelen aanwezig zijn om te voldoen aan AVG artikel 32, artikel 25 en artikel 28
Geautomatiseerde framework-specifieke dashboards ontvangen voor AVG, CCPA en andere Amerikaanse staatswetten
Bewijs verzamelen dat u kunt overleggen tijdens regelgevende inspecties of audits

Plan een demo met cside en ontdek hoe u uzelf beschermt tegen AVG-overtredingen.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Ja. De AVG kan van toepassing zijn op in de VS gevestigde bedrijven als zij goederen of diensten aanbieden aan personen in de EU, of het gedrag van EU-gebruikers monitoren via analytics, cookies, trackingpixels of vergelijkbare technologieën op hun website.

Niet verkopen in Europa vrijwaart uw bedrijf niet automatisch. De AVG is van toepassing op Amerikaanse bedrijven die goederen of diensten toegankelijk maken voor personen in de EU of EER, zelfs als er geen betaling vereist is, of die het gedrag monitoren van gebruikers die zich in de EU of EER bevinden.

Dat hangt af van de intentie en het monitoren van gedrag. De AVG is in het algemeen niet van toepassing op puur incidentele toegang door EU-gebruikers, maar kan wel van toepassing zijn als u EU-gebruikers bewust target of hun gedrag actief monitort via tracking- of analyticstechnologieën.

Ja. De AVG kent geen omvang- of omzetdrempel voor toepasselijkheid. Onder artikel 30(5) kunnen organisaties met minder dan 250 medewerkers echter vrijgesteld zijn van bepaalde registratieverplichtingen, afhankelijk van hun verwerkingsactiviteiten.

Google Analytics is standaard niet AVG-conform. Websitebeheerders moeten de tool correct configureren en de beschikbare privacyfuncties gebruiken om de inzet ervan in lijn te brengen met de AVG-vereisten.

Nee. De toepasselijkheid van de AVG wordt bepaald door de locatie van de betrokkene, niet door diens nationaliteit. Als een EU-burger zich op het moment van gegevensverwerking in de Verenigde Staten bevindt, is de AVG in het algemeen niet van toepassing.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Beste oplossingen voor accountovernamebescherming vergeleken (2026)

Anti-fraudesuites, fingerprinting-tools en MFA vergeleken op wat ze dekken in de ATO-aanvalsketen. Vind de juiste stack voor uw risicoprofiel.

Hoe je AI-agents stopt die nepaccounts aanmaken (Gids)

AI-agents maken nepaccounts aan met echte browsers, residentiële IP's en gegenereerde identiteiten. Dit is de detectiesignaalstack om ze te stoppen.

Hoe blokkeer je AI-agent content scraping bots (Gids)

AI content scraping bots gebruiken echte browsers, residentiële IP's en LLM-extractie om je prijzen en content te oogsten. Zo stop je ze.

Donkere cside-banner met een npm-supply-chain-aanval van het type worm

Het sneeuwbaleffect: hoe Mini Shai-Hulud npm verandert in een wormdistributienetwerk

Mini Shai-Hulud veranderde npm-pakketten in een lus voor credentialdiefstal. Zo verspreidde de AntV-golf zich.

Waarom CAPTCHAs geen betrouwbare botverdediging meer zijn

CAPTCHAs zijn geen betrouwbare primaire botverdediging meer. Lees waarom zichtbare challenges falen en aanvallers duurder worden.

Geillustreerde blogbanner over Funnull-sancties, infrastructuurwitwassen en browser supply-chain risico

Funnull gesanctioneerd: wat Polyfill[.]io liet zien over infrastructuurwitwassen

De sancties tegen Funnull tonen dat Polyfill deel was van een groter risico rond infrastructuurwitwassen.

Illustratie van een securitystack met on-device inference

On-device inference komt naar je securitystack: goed en slecht nieuws

Lokale AI kan gevoelige data beschermen en endpointbeveiliging versterken, maar brengt nieuwe risico's rond promptinjectie, telemetrie en browsers.

Donkere cside-blogcover met punten over tools voor detectie van AI-agents

4 tools om AI-agents op je website te detecteren (fraudepreventie)

Vergelijking van cside, HUMAN Security, DataDome en Cloudflare voor AI-agentdetectie. Ontdek hoe elke tool omgaat met fraudepreventie, prijzen en implementatie.

Donkere cside-blogcover met punten over het blokkeren van AI-creditcardtestbots

Creditcardtestbots op basis van AI-agents | Zo stop je ze

AI-agents voor creditcardtests gebruiken echte browsers om gestolen gegevens grootschalig te valideren. Leer ze te herkennen en te blokkeren vóór de betaling.

Donkere cside-blogcover met punten over gebruik en blokkering van stealth-browsers

Wat zijn stealth- (of 'anti-detect') browsers en wanneer moet je ze blokkeren

Stealth-browsers omzeilen botdetectie. Anti-detectbrowsers spoofen fingerprints. Leer de signalen die beide verraden, zelfs als ze er menselijk uitzien.