Kort antwoord: AVG/GDPR is relevant voor PCB-assemblage zodra uw projectbestanden identificeerbare persoonsgegevens bevatten - namen van contractanten, aan apparaten gekoppelde gebruikers-ID's, ingebouwde serviceaccounts of testlogs met operator-ID's. EU-gevestigde EMS-leveranciers zoals Energetika-VDS opereren onder één afdwingbaar gegevensbeschermingsregime met civielrechtelijke verhaalsmogelijkheden; Chinese aanbieders vallen onder PIPL en de Chinese Cybersecurity Law, waarin staatstoegang tot commerciële gegevens in bepaalde gevallen wettelijk afdwingbaar is.
Voor de meeste elektronica-inkopers klinkt "gegevensbescherming bij PCBA" als een HR-onderwerp. Dat is het niet. Uw BOM bevat uw leverancierslijst, uw firmware bevat uw algoritmen, uw testrapporten bevatten uw yields en uw fixtures coderen uw teststrategie. Waar die data leeft - en wie tot openbaarmaking kan worden gedwongen - is een bedrijfsbeslissing, geen voetnoot.
Waarom AVG/GDPR überhaupt PCBA raakt
De AVG (EU-Verordening 2016/679) regelt de verwerking van persoonsgegevens van EU-ingezetenen. PCBA lijkt een technische B2B-dienst, maar verschillende contactpunten gaan over die grens:
- BOM-bestanden bevatten vaak namen en e-mails van engineers, distributeurs en ingehuurde ontwerpers.
- Firmware-binaries kunnen ingebouwde serviceaccounts, telemetrie-endpoints gekoppeld aan identificeerbare gebruikers of cryptografische sleutels van met naam genoemde personen bevatten.
- DFM-feedback-e-mails zijn per definitie persoonlijke correspondentie.
- Traceerbaarheidsrecords die tijdens PCB-assemblage ontstaan, koppelen operator-ID's aan specifieke serienummers - dat zijn persoonsgegevens volgens artikel 4(1).
- Uploads in de offertefase op een quote estimator bevatten IP-adressen en contactmetadata.
Op het moment dat een van bovenstaande in een EMS-systeem terechtkomt, treedt de AVG in werking. De vraag is niet "is die van toepassing?" maar "is de verwerkingsverantwoordelijke-verwerkerrelatie netjes?".
EU EMS vs Chinese aanbieders: het juridisch kader
| Jurisdictie | Primaire wet | Regel grensoverschrijdende doorgifte | Bepalingen staatstoegang | Civielrechtelijk verhaal bij inbreuk |
|---|---|---|---|---|
| EU (incl. Energetika-VDS in MK als PEM-partij, AVG-aligned) | AVG + nationale AP | Artikel 45 adequaatheidsbesluit / SCC | Alleen op rechterlijk bevel | Tot 4% wereldwijde omzet |
| China (JLCPCB, PCBWay) | PIPL + Cybersecurity Law | CAC-veiligheidsbeoordeling voor export | Artikel 7 Cybersecurity Law - verplichte medewerking | Beperkt, ter discretie van de rechter |
| Zwitserland / Noorwegen (adequaat) | revFADP / Wet persoonsgegevens | Artikel 45 equivalent | Alleen op rechterlijk bevel | Vergelijkbaar met AVG |
| Verenigde Staten | Lappendeken (CCPA, etc.) | Geen voor B2B-PCBA | FISA 702, CLOUD Act | Sectoraal |
Het PIPL-kader in China bevat bepalingen (artikel 41) die doorgifte aan niet-Chinese autoriteiten alleen met goedkeuring van de Chinese overheid toestaan - met andere woorden: uw BOM, opgevraagd door een EU-toezichthouder, kan niet worden teruggegeven zonder akkoord van Peking. Voor de meeste consumentenelektronica is dat irrelevant. Voor defensie-aanpalende, medische, dual-use of kritieke-infrastructuurprojecten is het wezenlijk.
Hoe "gegevensverwerking" er bij een mid-EU EMS echt uitziet
Wanneer een klant Energetika-VDS inschakelt, loopt de datastroom als volgt:
- NDA getekend voordat enig technisch bestand binnenkomt. Bilateraal, wederkerig, Macedonisch recht met EU-forumkeuze als optie.
- Bestanden worden via TLS geüpload naar onze offerteportal; metadata worden uit PDF's verwijderd.
- BOM wordt geïmporteerd in MES voor componentinkoop; leveranciersnamen zijn alleen zichtbaar voor de inkoopdesk.
- Gerbers, pick-and-place en firmware staan in een projectkluis, encrypted at rest (AES-256).
- Operatortoegang is rolgebaseerd; lijnoperators zien job-ID's, geen klantnamen.
- Na afloop van het garantievenster (doorgaans 24 maanden na laatste levering) worden bestanden veilig gewist - NIST SP 800-88 Purge-niveau.
- Traceerbaarheidsrecords die operator aan serienummer koppelen, worden bewaard volgens ons kwaliteit-traceerbaarheid-beleid en IPC-1782.
Het volledige proces is gedocumenteerd onder productieproces en onze inspectie- en testcontroles.
Firmware en IP: de specifieke zorgen
Firmware is het risicovolste artefact in een PCBA-contract. Klanten vragen:
- "Als u mijn binary flasht, bewaart u dan een kopie?" Ja - gedurende het garantievenster - versleuteld en niet onttrekbaar uit de lijn.
- "Kan een concurrent op uw lijn mijn firmware zien?" Nee. Productiecellen zijn fysiek gescheiden; programmeerstations schrijven vanuit een verzegelde kluis.
- "Wat als een programmeur weggaat?" Diens toegang wordt dezelfde dag ingetrokken; de audit-log van de kluis toont elke leesactie.
- "Doet u reverse-engineering?" Contractueel verboden; technisch zinloos - wij zijn een assembler, geen chipontwerper.
Voor gevoelige projecten kunnen klanten vooraf geflashte MCU's leveren, blanco verzenden of one-time-programmable fuses gebruiken na FCT.
Bewaring, verwijdering en auditrechten
Bewaringsvensters bij mid-EU EMS zijn gekoppeld aan garantieverplichtingen en IPC-traceerbaarheidsregels (tien jaar bewaren is geen AVG-standaard - het is een klantkeuze voor veiligheidskritische sectoren). Standaardbewaring bij Energetika-VDS:
- Offerte- en e-mailcorrespondentie: 36 maanden
- BOM, Gerbers, P&P: garantievenster + 12 maanden
- Firmware-binary: alleen garantievenster
- Traceerbaarheids-JSON (operator + serienummer + lot): 10 jaar voor IPC Class 3, 5 jaar voor Class 2
- AOI-beelden: 6 maanden, tenzij de klant langer eist
Klanten mogen de gegevensverwerking auditen met 30 dagen aankondiging. Wij zijn een JLCPCB-alternatief, juist omdat dat auditrecht hier afdwingbaar is en in Shenzhen feitelijk niet.
Praktische aanbevelingen
- Voor lagevolume-PCBA in Europa elimineert een EU EMS een hele compliance-vector tegen een beperkte premie.
- Voeg een gegevensbeschermingsannex toe aan uw RFQ. Wij ondertekenen die. De meeste Aziatische shops niet.
- Vraag om het data-flow-diagram. Kan de EMS er binnen een week geen produceren, loop dan weg.
- Verifieer de lijst sub-verwerkers. Onderaannemers voor programmeren of testen moeten dezelfde flow-down hebben.
- Wanneer u een offerte aanvraagt, meld dan vooraf elke blootstelling aan persoonsgegevens, zodat de NDA-reikwijdte aansluit op de werkelijkheid.
Veelgestelde vragen
Is AVG/GDPR relevant voor PCBA? Ja, telkens wanneer de projectbestanden persoonsgegevens bevatten - namen van contractanten, ingebouwde gebruikers-ID's, telemetrie-endpoints gekoppeld aan personen of traceerbaarheidsrecords die operators aan units koppelen. Voor de meeste commerciële elektronica is het antwoord "ja, in beperkte mate".
Hoe zit het met mijn firmware-IP? Firmware-binaries worden versleuteld opgeslagen, alleen toegankelijk via credentials van het programmeerstation en gewist aan het einde van de garantie. Reverse-engineering is contractueel verboden en operationeel niet wat een assembler doet. Klanten die maximale controle willen, kunnen vooraf geflashte apparaten leveren.
Wat zijn gangbare EU EMS-bewaringsnormen? BOM's en Gerbers: garantievenster plus 12 maanden. Firmware: alleen garantievenster. Traceerbaarheid: 10 jaar voor IPC Class 3, 5 jaar voor Class 2. AOI-beelden: standaard 6 maanden. Alles kan door de klant worden aangepast.
Is een NDA standaard? Ja, bilateraal getekend voordat bestanden binnenkomen. Energetika-VDS levert een standaard wederzijdse NDA in het Engels; we ondertekenen ook een klant-template als die redelijk is. Het toepasselijk recht is onderhandelbaar; standaard is Skopje als forum, met EU-erkende arbitrage als optie.
Zijn er extra beschermingen voor defensie- of dual-use-projecten? Ja - gescheiden cel, met naam genoemde operators, geen onderaanneming op programmeren, klant-bijgewoonde lijn-opening en air-gapped firmwarekluizen. Bespreek de eisen bij offerte.