https://staging.ploum.nl/uploads/Artikelen_en_Track_Records_en_expertise/Cyber/europe-3256079_1920_(1).jpg

Europese Commissie neemt nieuwe modelbepalingen (Standard Contractual Clauses) voor gegevensdoorgiften naar derde landen aan

30 jun '21

De Europese Commissie heeft op 4 juni 2021 nieuwe Standard Contractual Clauses (hierna afgekort tot SCC’s) aangenomen. In dit blog zullen we kort bespreken waarom de Europese Commissie nieuwe SCC’s heeft aangenomen, wat er is veranderd ten opzichte van de voorgaande versie van de SCC’s en – voor u het meest belangrijk – wat u of uw bedrijf nu het beste kan doen naar aanleiding van het aannemen van deze SCC’s.

Waarom nieuwe SCC’s?

Om het belang van deze nieuwe SCC’s goed te begrijpen is het goed om kort stil te staan bij de functie van de SCC’s in het algemeen. De SCC’s vormen een modelcontract dat kan worden gebruikt om de waarborgen te bieden die hoofdstuk 5 van de Algemene Verordening Gegevensbescherming (AVG) vereist voor het doorgeven van gegevens vanuit de EER naar landen buiten de Europese Economische Ruimte (EER). Persoonsgegevens mogen onder de AVG niet zomaar naar landen buiten de EER (ook wel: derde landen) worden doorgegeven. Gegevens mogen enkel worden doorgegeven wanneer gewaarborgd is dat de gegevens ook in het derde land voldoende beschermd worden. Dit is bijvoorbeeld het geval wanneer de Europese Commissie een adequaatheidsbesluit uitvaardigt ten behoeve van dat derde land (zie voor meer informatie in dit kader ook ons blog over Brexit en de AVG). Wanneer er geen adequaatheidsbesluit bestaat ten aanzien van het derde land waaraan de gegevens worden doorgegeven, kunnen (onder meer) middels de SCC’s afspraken worden gemaakt met de partij die de persoonsgegevens ontvangt. Dat kan een andere ‘verwerkingsverantwoordelijke’ of een ‘verwerker’ (zoals bijvoorbeeld een softwareleverancier) zijn. Deze afspraken moeten ervoor zorgen dat de vertrouwelijkheid, integriteit en beschikbaarheid van die gegevens voldoende wordt beschermd.

De oude SCC’s, die al een behoorlijke tijd meegingen, waren aan vervanging toe In de Schrems II uitspraak van het Europese Hof van Justitie kwam ook naar voren dat niet alleen goede afspraken moeten worden gemaakt tussen de gegevensexporteur en -importeur, maar ook dat beoordeeld moet worden of deze afspraken de gewenste uitwerking zullen hebben in het licht van de wetgeving in het land waar de gegevens naartoe worden gestuurd. Veelal zijn dan nog aanvullende maatregelen vereist, wat in de nieuwe SCC’s duidelijker naar voren is gebracht. Hierover heeft de EDPB inmiddels ook richtlijnen gepubliceerd.

Wat is er veranderd ten opzichte van de oude SCC’s?

De nieuwe SCC’s omvatten een aantal nieuwe bepalingen die met name zijn toegevoegd naar aanleiding van de Schrems II uitspraak. Maar niet alleen qua inhoud zijn er wijzigingen doorgevoerd, ook de vorm van de SCC’s is gewijzigd.

Anders dan voorheen is er nu één set SCC’s met daarin de bepalingen voor alle varianten van doorgiften (verwerkingsverantwoordelijke-verwerker, verwerkingsverantwoordelijke-verwerkingsverantwoordelijke, verwerker-verwerkingsverantwoordelijke en verwerker-verwerker), waar er voorheen voor verschillende varianten een eigen set SCC’s bestond – en voor bijvoorbeeld de relatie verwerker-subverwerker geen officieel modelcontract bestond.

Bij de nieuwe SCC’s moeten partijen dus onderling afspreken welke specifieke bepalingen van toepassing zijn.

Er zijn ook nieuwe bepalingen in dit modelcontract opgenomen. Zo is een bepaling opgenomen die verplicht tot het doen van een Data Transfer Impact Assessment (DTIA). Daarnaast zijn er bepalingen toegevoegd die zien op de toegang tot persoonsgegevens door autoriteiten. Zo moeten gegevensimporteurs zowel de exporteur als betrokkenen informeren ingeval van een verzoek tot inzage door de autoriteiten, moet de importeur de legaliteit van het inzageverzoek onderzoeken (en verplicht ageren tegen dat verzoek indien daartoe grond bestaat) en ingeval aan een verzoek gehoor dient te worden gegeven dienen enkel de minimale verplichte gegevens te worden getoond.

Hiermee hebben wij een aantal bepalingen uitgelicht, maar niet alle veranderingen besproken. Het is goed om de relevante bepalingen voor uw specifieke verwerkingsrelatie door te nemen.

Wat nu?

De nieuwe SCC’s zijn nu dus aangenomen en gepubliceerd door de Europese Commissie. Deze kunnen nu worden gebruikt. Tot 27 september 2021 geldt een overgangsperiode en kunnen ook de oude SCC’s nog worden gesloten. Vanaf 27 september 2021 hebben partijen die de oude SCC’s gebruiken 15 maanden de tijd om deze nieuwe SCC’s te sluiten die de oude vervangen. Let wel, hierbij geldt dat de verwerkingsactiviteiten niet mogen veranderen en (ook bij gebruik van de oude SCC’s) is het nodig dat dit gebruik van SCC’s toereikende waarborgen ter bescherming van de privacy van betrokkenen biedt.

Omdat in HvJ Schrems II bepaald is dat die oude SCC’s onvoldoende waarborgen bieden, is het wel raadzaam om zo snel mogelijk over te stappen en nieuwe afspraken te maken als data importeur of exporteur.

Wilt u weten welke bepalingen u precies moet gebruiken? Wilt u weten wat de nieuwe bepalingen voor u in de praktijk betekenen? Of heeft u andere vragen met betrekking tot het doorgeven van persoonsgegevens? Neem contact met ons op en wij helpen u graag verder!

Contact

Advocaat

Lars Boer

Expertises:  IT-recht, Privacyrecht, Aanbestedingsrecht, Cybersecurity , Technologie, Media en Telecom, Commerciële contracten, Start-up en Scale-up,

Heeft u vragen over de informatie op deze pagina?

+31 (0)10 4406440 info@ploum.nl

Deel dit artikel

Blijf op de hoogte

Klik op het plusje en schrijf je in voor updates over dit onderwerp.

Expertise(s)

Onderwerp(en)

Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

Ik heb al een account

Voordelen Mijn Ploum

  • Volgen wat u interessant vindt
  • Krijg aanbevelingen op basis van uw interesses

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

{/exp:user:register}

*Verplicht in te vullen velden.

Ik heb al een account

Voordelen Mijn Ploum

Volgen wat u interessant vindt

Krijg aanbevelingen op basis van uw interesses

{phrase:advantage_3}

{phrase:advantage_4}


Waarom vragen we uw naam?

We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.

Wachtwoord

Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.