Overzicht Actueel

Nieuwe modelcontracten voor datadoorgifte buiten de EU

Op 4 juni 2021 heeft de Europese Commissie de nieuwe versie van haar modelcontracten (in het Engels afgekort als SCC’s) bekendgemaakt. De voorganger van die documenten stamt uit de periode van vóór de AVG, waardoor een herziening nodig was. Bij die herziening heeft de Commissie rekening gehouden met de recente ontwikkelingen rondom de Schrems II-uitspraak, waarbij de hoogste Europese rechter de eisen voor datadoorgifte aanscherpte. In dit artikel leggen we je uit wanneer je deze contracten moet gebruiken en wat er veranderd is ten opzichte van de vorige versie.

Waarvoor gebruik je SCC’s?

Op het moment dat je persoonsgegevens doorgeeft buiten de EEA (de EU plus Noorwegen, IJsland en Liechtenstein, hierna gemakshalve de EU) verplicht de AVG dat die gegevens ook buiten de EU goed beschermd worden. De AVG benoemt daarvoor verschillende opties, zoals het adequaatheidsbesluit waarbij een heel land als veilig wordt bestempeld. Een alternatief is om dit op organisatieniveau te regelen via een modelcontract van de Europese Commissie. Dit wordt veelal toegepast als addendum bij een verwerkersovereenkomst, bijvoorbeeld voor doorgifte aan een dienstverlener in de VS.

Met de nieuwe SCC’s kan doorgifte geborgd worden wanneer er persoonsgegevens worden doorgegeven naar een ontvanger buiten de EU waarop de AVG niet van toepassing is. Dit is een belangrijk verschil met de vorige versie van de SCC’s. De modelcontracten zijn, zo benadrukt de EC, niet bedoeld voor verwerkingen waarop de AVG al van toepassing is (krachtens artikel 3 lid 2 AVG). Dit is bijvoorbeeld het geval wanneer de ontvangende partij producten of diensten aanbiedt aan personen in de EU, of het gedrag monitort van personen in de EU. Hiermee wordt een grote groep ontvangers uitgesloten.

Wat moet je regelen voor doorgifte naar ontvangers buiten de EU als de AVG al van toepassing is?

Op dit moment is het afwachten of de Europese toezichthouders, verenigd in de EDPB, de visie van de Europese Commissie delen. Dit is wel de verwachting. Als dat zo is, wordt de ‘data-exporteur’ echter niet ontslagen van de verplichting om een ‘transfer impact assessment’ uit te voeren. Dat volgt uit de Schrems II-uitspraak. Hierin is bepaald dat er moet worden beoordeeld of het beschermingsniveau in het land van bestemming ‘in essentie gelijkwaardig’ is. Dit kan bijvoorbeeld in het gedrang zijn doordat inlichtingendiensten wettelijk de bevoegdheid hebben om zich toegang te verschaffen tot persoonsgegevens. Wanneer dat nodig is moet de data-exporteur zorgen voor ‘passende waarborgen’. De EDPB zal in haar aanbeveling moeten bepalen welke waarborgen dit kunnen zijn. De definitieve versie van dat document wordt binnen enkele weken verwacht. In de praktijk kan bovenstaande betekenen dat er geen SCC’s afgesloten hoeven worden met een ontvanger omdat de AVG al van toepassing is, maar dat doorgifte alsnog niet mogelijk is omdat er geen passende waarborgen getroffen kunnen worden. Zeker met doorgifte naar de VS zou dit een probleem kunnen worden.

Wat is er veranderd ten opzichte van de oude modelcontracten?

Om te beginnen zijn de nieuwe SCC’s voor vier verschillende situaties opgebouwd:

  1. Verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke;
  2. Verwerkingsverantwoordelijke naar verwerker;
  3. (sub)verwerker naar (sub)verwerker; of
  4. (sub)verwerker naar verwerkingsverantwoordelijke.

Je hebt als organisatie 18 maanden de tijd om over te stappen naar de nieuwe SCC’s. Daarnaast hebben de SCC’s dus een update gekregen naar de normen van de AVG. Denk daarbij aan documentatieverplichtingen, aangescherpte bepalingen over de rechten van betrokkenen en de rol van de toezichthouders.

Een nieuw onderdeel is de hierboven genoemde beoordeling van het land van bestemming (ook wel transfer impact assessment, afgekort TIA). Dit is een verplicht onderzoek dat gedaan moet worden door beide partijen. Wanneer een toezichthouder om deze TIA vraagt, moet deze worden verstrekt. Het is dus van belang om deze goed te documenteren, samen met de eventueel getroffen aanvullende waarborgen.

Hoe voor te bereiden?

Je hebt dus anderhalf jaar de tijd om de SCC’s die je nu hebt gesloten te vervangen. Maar om dit compleet te kunnen maken, zullen we waarschijnlijk nog moeten wachten op de aanbevelingen van de EDPB. Wel kun je alvast met het volgende beginnen:

  1. Beoordeel of SCC’s vervangen moeten worden (is de AVG al van toepassing op de verwerking?)
  2. Zo ja, bereid de modelcontracten alvast voor door ze aan te passen op de voor jou toepasbare module.
  3. Zorg ervoor dat je een template hebt om de TIA uit te kunnen voeren.
  4. Documenteer en evalueer maatregelen op regelmatige basis.

Bij DDMA houden we de ontwikkelingen rond het delen van data buiten de EU constant in de gaten. Hou voor updates dus zeker onze kanalen in de gaten en meld je aan voor onze juridische nieuwsbrief. Heb je een vraag en ben je lid van DDMA, stuur een mailtje naar legal@ddma.nl.