Blog

Nieuwe EU Standard Contractual Clauses voor doorgifte van persoonsgegevens aan derde landen

Op 4 juni 2021 heeft de Europese Commissie een nieuw modelcontract gepubliceerd voor de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER). In dit artikel wordt stilgestaan bij de gevolgen hiervan voor de praktijk. In het kort Het nieuwe modelcontract mag vanaf 27 juni 2021 worden gebruikt voor de betreffende internationale doorgiften, […]

Op 4 juni 2021 heeft de Europese Commissie een nieuw modelcontract gepubliceerd voor de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER). In dit artikel wordt stilgestaan bij de gevolgen hiervan voor de praktijk.


In het kort

  • Het nieuwe modelcontract mag vanaf 27 juni 2021 worden gebruikt voor de betreffende internationale doorgiften, waarbij ook een data transfer impact assessment gedaan zal moeten worden en eventueel aanvullende commerciële afspraken kunnen worden gemaakt;
  • De oude modelcontracten mogen vanaf 27 september 2021 niet langer gebruikt worden voor nieuwe doorgifte of doorgifte waarbij de onderliggende verwerking wijzigt, omdat de geldigheid van de oude modelcontracten per die datum wordt ingetrokken; en
  • Vanaf 27 december 2022 zullen ook bestaande doorgiften niet langer gelegitimeerd kunnen worden op basis van de oude modelcontracten en zal doorgifte dus enkel zijn toegestaan op basis van het nieuwe modelcontract of een andere wettelijke legitimering.

Achtergrond

De Algemene verordening gegevensbescherming (AVG) beoogt de verwerking van persoonsgegevens binnen de EER te harmoniseren. Het doel hiervan is onder meer het vrije verkeer van persoonsgegevens binnen de EER te faciliteren.

Doorgiften van persoonsgegevens naar landen buiten de EER is uitsluitend toegestaan indien aan bepaalde voorwaarden is voldaan. Een in de praktijk populaire route is het gebruik van door de Europese Commissie goedgekeurde modelcontracten (Standard Contractual Clauses of SSCs).

Het EU Hof van Justitie heeft eerder in het Schrems II-arrest bepaald dat deze Standard Contractual Clauses enkel gebruikt mogen worden indien ook in de praktijk een gelijkwaardig beschermingsniveau kan worden gewaarborgd.

Oude modelcontracten

Hoewel de modelcontracten uit 2004, 2010 en 2014 populair zijn is het gebruik in de praktijk niet altijd even gemakkelijk gebleken. Dit gaat verder dan de discussie over de rechtmatigheid van de modelcontracten waarover het EU Hof van Justitie zich heeft uitgelaten in Schrems II.

De modelcontracten zien uitsluitend op de doorgifte tussen twee verwerkingsverantwoordelijken of een verwerkingsverantwoordelijke aan een verwerker, terwijl er in de praktijk veel meer varianten denkbaar zijn zoals de doorgifte van een (sub)verwerker aan een andere (sub)verwerker.

De modelcontracten zijn daarnaast wel (expliciet) geldig gebleven bij inwerkingtreding van de AVG, maar ze sluiten er inhoudelijk niet helemaal bij aan. Concreet blijkt dit bijvoorbeeld uit het ontbreken van (expliciete) afspraken over de omgang met datalekken.

Nieuw modelcontract

Het is voor de praktijk dan ook prettig dat de Europese Commissie nu een nieuwe set heeft gepubliceerd. Deze set is op 12 november 2020 ter consultatie aangeboden en in finale vorm op 4 juni 2021 gepubliceerd, waarna deze vanaf 27 juni 2021 gebruikt kan worden.

Meer varianten

Inhoudelijk is de nieuwe set ingrijpend gewijzigd, waarbij allereerst opvalt dat het nieuwe modelcontract veel meer varianten ondersteunt zoals:

  • de doorgifte van een verwerker aan een verwerkingsverantwoordelijke en de doorgifte van een (sub)verwerker aan een (sub)verwerker;
  • de doorgifte waarbij de AVG van toepassing is doordat de betrokkenen zich in de EER bevinden, terwijl de verwerkingsverantwoordelijke daar niet gevestigd is; en
  • de doorgifte waarbij meer dan twee partijen zijn betrokken en de kring van partijen zich in de loop van de tijd verder uitbreid (“docking-bepaling”).

De enige varianten die niet ondersteund lijken te worden zijn de situatie waarin de verwerking door de gegevensimporteur onder de AVG valt of de situatie waarin de doorgifte van persoonsgegevens onder de Britse variant van de AVG is gereguleerd.

Schrems II

Wat verder in het oog springt is dat de nieuwe Standard Contractual Clauses nadrukkelijk oog hebben voor de Schrems II zaak, waarbij de principes behouden zijn gebleven waarop het EU Hof van Justitie de Standard Contractual Clauses in beginsel toelaatbaar oordeelde.

De nieuwe Standard Contractual Clauses bepalen in aanvulling dat de gegevensexporteur een data transfer impact assessment zal moeten uitvoeren en waaraan deze assessment dient te voldoen. Op verzoek dient deze assessment aan de toezichthouder beschikbaar te worden gesteld.

Ook de waarborgen tegen inmenging door een overheidsinstantie in het derde land zijn aangescherpt, zoals:

  • indien mogelijk dient de gegevensimporteur de gegevensexporteur en betrokkenen te informeren over een verzoek om toegang door een overheidsinstantie;
  • de rechtmatigheid van een verzoek dient te worden getoetst en redelijkerwijs worden aangevochten door de gegevensimporteur en zo mogelijk (tijdelijk) opgeschort; en
  • de gegevensimporteur dient de genomen stappen te documenteren en zal los daarvan een transparantierapport moeten publiceren met meer generieke statistieken op dit punt.

Aanvullende afspraken

Ten opzichte van de consultatieversie van 12 november 2020 valt daarnaast op dat veel commercieel getinte bepalingen zijn geschrapt in de finale versie, zoals bijvoorbeeld afspraken over de kosten van audits. Blijkbaar heeft de Europese Commissie zich hierin niet willen mengen.

Voor de praktijk betekent dit laatste dat organisaties hier aanvullende afspraken over kunnen maken. De Standard Contractual Clauses staan aanvullingen toe, zolang die niet in tegenspraak zijn met de inhoud van de Standard Contractual Clauses en geen afbreuk doen aan de grondrechten van betrokkenen.

Verwerkersovereenkomst

Als de Standard Contractual Clauses worden gesloten tussen een verwerkingsverantwoordelijke en een verwerker is het niet langer nodig om een afzonderlijke verwerkersovereenkomst te sluiten. Alle verplichte onderwerpen worden namelijk ondervangen in de Standard Contractual Clauses.

Op 4 juni 2021 heeft de Europese Commissie overigens ook een standaard verwerkersovereenkomst gepubliceerd die een verwerkingsverantwoordelijke en verwerker binnen de EER met elkaar kunnen sluiten.

Meer weten?

Wilt u weten of het nieuwe modelcontract gevolgen voor u heeft? Heeft u hulp nodig bij het sluiten van de modelcontracten of het uitvoeren van een data transfer impact assessment? Wilt u advies in verband met internationale doorgifte van persoonsgegevens? Neem dan contact op met een van onze specialisten.

Auteur

Expertises

Deel dit artikel

Meer blogs

Kyara van Roessel versterkt Louwers IP&Tech Advocaten

Per 1 augustus 2024 heeft Kyara van Roessel zich aangesloten bij Louwers IP&Tech Advocaten. Kyara zal de groeiende merken- en modellenregistratiepraktijk binnen Louwers IP&Tech Advocaten ondersteunen.

/LEES MEER

Kyara van Roessel versterkt Louwers IP&Tech Advocaten

Per 1 augustus 2024 heeft Kyara van Roessel zich aangesloten bij Louwers IP&Tech Advocaten. Kyara zal de groeiende merken- en modellenregistratiepraktijk binnen Louwers IP&Tech Advocaten ondersteunen.

Louwers bestuurslid Vereniging IE Proces Advocaten

Op 12 september 2024 is Ernst-Jan Louwers toegetreden tot het bestuur van de Vereniging Intellectuele Eigendom Proces Advocaten (VIEPA). VIEPA is een specialisatievereniging erkend door de Nederlandse Orde van Advocaten.

/LEES MEER

Louwers bestuurslid Vereniging IE Proces Advocaten

Op 12 september 2024 is Ernst-Jan Louwers toegetreden tot het bestuur van de Vereniging Intellectuele Eigendom Proces Advocaten (VIEPA). VIEPA is een specialisatievereniging erkend door de Nederlandse Orde van Advocaten.

Familienaam als handelsnaam: geen probleem (?)

Veel bedrijven kiezen ervoor om een familienaam als handelsnaam te voeren. Een familienaam voelt immers al snel vertrouwd (ons kantoor heeft die keuze ook gemaakt). Maar pas op: oudere handelsnamen of merken kunnen aan het gebruik van een familienaam in de weg staan.  Even ter inleiding. Een handelsnaam is de naam waaronder een onderneming wordt […]

/LEES MEER

Familienaam als handelsnaam: geen probleem (?)

Veel bedrijven kiezen ervoor om een familienaam als handelsnaam te voeren. Een familienaam voelt immers al snel vertrouwd (ons kantoor heeft die keuze ook gemaakt). Maar pas op: oudere handelsnamen of merken kunnen aan het gebruik van een familienaam in de weg staan.  Even ter inleiding. Een handelsnaam is de naam waaronder een onderneming wordt […]

Het recht op immateriële schadevergoeding op grond van de AVG

Immateriële schadevergoeding bij datalek: bijzondere of gevoelige persoonsgegevens 

In 2023 oordeelde het Hof van Justitie dat een inbreuk op de AVG niet automatisch recht geeft op een schadevergoeding. In deze blog behandelen wij de Nederlandse rechtspraak omtrent het recht op immateriële schadevergoeding vanwege het lekken van bijzondere of gevoelige persoonsgegevens.

/LEES MEER

Het recht op immateriële schadevergoeding op grond van de AVG

Immateriële schadevergoeding bij datalek: bijzondere of gevoelige persoonsgegevens 

In 2023 oordeelde het Hof van Justitie dat een inbreuk op de AVG niet automatisch recht geeft op een schadevergoeding. In deze blog behandelen wij de Nederlandse rechtspraak omtrent het recht op immateriële schadevergoeding vanwege het lekken van bijzondere of gevoelige persoonsgegevens.