Vanaf 27 september 2021 zijn organisaties op wie de Algemene Verordening Gegevensbescherming (AVG) van toepassing is verplicht om bij nieuwe of gewijzigde doorgifte van persoonsgegevens naar derde landen gestoeld op de zogenaamde Standard Contractual Clauses’ (SCC’s) over te stappen naar de nieuwe SCC’s.

Elke organisatie op wie de AVG van toepassing is die persoonsgegevens verwerkt buiten de Europese Economische Ruimte (EER) mag dat alleen doen als ofwel sprake is van een adequaatheidsbesluit (artikel 45 AVG) of van passende waarborgen (artikel 46 AVG). Hiermee wordt beoogd persoonsgegevens buiten de EER dezelfde bescherming te bieden als binnen de EER.

 

Eén van de meest gebruikte passende waarborgen is sluiten van een modelcontract dat is goedgekeurd door de Europese Commissie (EC). De bepalingen uit dit modelcontract worden ook wel de SCC’s genoemd. De EC heeft afgelopen juni nieuwe SCC’s goedgekeurd die inmiddels in werking getreden zijn.

 

De nieuwe SCC’s vervangen de oude sets die werden ontworpen ruim voordat de AVG in werking trad. De oude SCC’s hadden volgens critici een gebrek aan betrouwbaarheid en uitvoerbaarheid. De roep om vernieuwing klonk daarom al langer. Zeker na de Schrems II-uitspraak was het nodig om nieuwe SCC’s te ontwikkelen.

Gevolg Schrems II-uitspraak

Het Hof van Justitie van de Europese Unie heeft op 16 juli 2020 een uitspraak gedaan over de doorgifte van persoonsgegevens naar derde landen. Met deze uitspraak werd niet alleen het zogenaamde EU-US Privacy Shield ongeldig verklaard, maar werd ook duidelijk dat het afsluiten van de oude SCC’s (een van de alternatieven) op zichzelf niet voldoende was om te voldoen aan de eisen die de AVG stelt aan doorgifte van persoonsgegevens buiten de EER.

 

Organisaties die gebruik maakten van de oude SCC’s kunnen niet volstaan met het afsluiten van deze SCC’s. Ook moeten zij controleren of de wetgeving in het ontvangende land niet afdoet aan het beschermingsniveau uit de AVG. Omdat de oude SCC’s volgens het Hof niet voldoende bescherming boden, zijn relatief snel na de Schrems II-uitspraak nieuwe SCC’s vastgesteld.

Nieuwe modellen

De nieuwe SCC’s bevatten algemene artikelen waarover niet kan worden onderhandeld. Daarnaast zijn er zogenoemde modulaire artikelen. De modulaire artikelen zijn op maat gemaakt voor specifieke situaties. Partijen die de SCC’s sluiten zullen op voorhand een keuze uit deze artikelen moeten maken. In de nieuwe SCC’s zijn bepalingen opgenomen voor de volgende situaties waarin persoonsgegevens gedeeld worden:

  • verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke;
  • verwerkingsverantwoordelijke naar verwerker;
  • (sub)verwerker naar (sub)verwerker;
  • (sub)verwerker naar verwerkingsverantwoordelijke.

 

Inhoudelijk zijn er ook nieuwe voorzieningen toegevoegd aan de SCC’s. Partijen moeten bijvoorbeeld garanderen dat ze geen reden hebben om aan te nemen dat de toepasselijke wetgeving in het ontvangende land, de importeur belet om te voldoen aan de SCC’s. Ook bevatten de SCC’s kaders waarmee partijen dit kunnen toetsen. Er moet bijvoorbeeld gekeken worden naar de wetgeving in het ontvangende land en de aanvullende maatregelen die genomen zijn om te voldoen aan de SCC’s. Partijen moeten deze toetsing kunnen overhandigen aan de bevoegde privacytoezichthouder. Tot slot is er een verantwoordingsplicht: beide partijen moeten kunnen aantonen dat ze aan de SCC’s voldoen.

 

De nieuwe SCC’s voorzien in de mogelijkheid dat meerdere partijen, partij bij de SCC’s kunnen zijn. Ook is het mogelijk om nieuwe partijen toe te voegen. Een andere verandering is dat de exporteur van gegevens in de nieuwe SCC’s ook een partij buiten de EER kan zijn. Dit is nodig omdat partijen buiten de EER op grond van het territoriale toepassingsgebied soms alsnog onder de AVG vallen.

 

Goed om te weten is dat met gebruik van de SCC’s een aparte verwerkersovereenkomst niet meer nodig is, omdat de tekst is aangesloten op artikel 28 van de AVG.

 

De nieuwe SCC’s voegen tot slot drie bijlagen toe:

  • in bijlage 1 worden partijen verplicht de partijen bij de overeenkomst te beschrijven, de doorgifte te beschrijven, en de bevoegde toezichthoudende autoriteit te noemen;
  • in bijlage 2 beschrijven partijen de technische en organisatorische maatregelen die zijn genomen om persoonsgegevens te beschermen;
  • in bijlage 3 worden de verwerkers die de importeur (mogelijk) inschakelt beschreven.

Welke stappen zijn nodig?

Organisaties mogen vanaf 27 september 2021 de oude SCC’s niet meer gebruiken voor nieuwe overeenkomsten. Organisaties die nu gebruik maken van oude SCC’s krijgen 18 maanden de tijd (tot 27 december 2022) om de nieuwe bepalingen in hun overeenkomsten te integreren. Bedrijven en instellingen moeten daarom controleren of zij in lopende contracten de oude SCC’s gebruiken. Als dit zo is, en als de contracten een looptijd hebben van langer dan 18 maanden, moeten zij overstappen naar de nieuwe SCC’s.

 

Let op! Als u vanaf 27 september 2021 wijzigingen wil aanbrengen in lopende overeenkomsten inzake doorgifte van persoonsgegevens, bent u eveneens verplicht om volledig over te stappen naar de nieuwe SCC’s.

 

Heeft u vragen hoe u dit het beste aan kunt pakken of wilt u meer informatie over het uitwisselen van persoonsgegevens aan landen buiten de EER? Neem dan gerust contact op met Carola van Andel of Rutger Ketting, leden van het Team Privacy van Nysingh.

Alle blogs

Auteurs

Carola van Andel

Advocaat, Partner
Bekijk profiel
Contactgegevens Sluit gegevens Profiel

Rutger Ketting

Advocaat
Bekijk profiel
Contactgegevens Sluit gegevens Profiel

Expertises

Sectoren

Thema’s