De Europese Commissie (EC) heeft een nieuw modelcontract goedgekeurd dat bedrijven kunnen gebruiken voor de doorgifte van persoonsgegevens vanuit de EU naar landen daarbuiten. Bedrijven die nu al een modelcontract als doorgifte-instrument gebruiken, krijgen in totaal 18 maanden de tijd om hun huidige contracten in lijn te brengen met het nieuwe modelcontract.
Het nieuwe modelcontract is te vinden aan het einde van het Uitvoeringsbesluit (EU) 2021/914 van de EC. Het nieuwe modelcontract (ook ‘standard contractual clauses genoemd, SCC’s) vervangt de modelcontracten die de EC eerder vastgesteld heeft.
Modules in modelcontract
Het nieuwe modelcontract bestaat uit een algemeen gedeelte en de volgende 4 modules:
- doorgifte van verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke;
- doorgifte van verwerkingsverantwoordelijke naar verwerker;
- doorgifte van (sub)verwerker naar (sub)verwerker;
- doorgifte van (sub)verwerker naar verwerkingsverantwoordelijke.
Het nieuwe modelcontract houdt rekening met de uitspraak van het Hof van Justitie van de Europese Unie van juli 2020 in de zaak Schrems II. Het modelcontract bevat onder meer een overzicht van de stappen die bedrijven moeten nemen om te voldoen aan de wet na de Schrems II-uitspraak.
Volgens het Hof kunnen modelcontracten een geldige grondslag bieden voor doorgifte van gegevens naar landen buiten de EU, mits in de praktijk een gelijkwaardig beschermingsniveau kan worden gewaarborgd. Is dit niet het geval, dan moeten bedrijven aanvullende maatregelen nemen om daar alsnog voor te zorgen. De Europese privacytoezichthouders, verenigd in de European Data Protection Board (EDPB), hebben aanbevelingen opgesteld met voorstellen voor dit soort maatregelen. Deze aanbevelingen zijn onlangs definitief vastgesteld, nadat onder meer bedrijven en brancheverenigingen reageerden op het eerder opgestelde concept. Lees meer>>
AVG Controlelijst kennisgroep Privacy & GPDR
De kennisgroep Privacy & GPDR publiceert regelmatig artikelen, waarin wordt ingegaan op bovengenoemde ontwikkelingen. In het artikel ‘Schrems II: welke mitigerende maatregelen moet je nemen?‘ neemt de kennisgroep je mee in de gevolgen van de Schrems II-uitspraak van het HvJ-EU. De kennisgroep geeft onder meer een controlelijst waarmee je een inschatting kunt maken van de impact van de Schrems II-uitspraak op jouw organisatie. De checklist is gebaseerd op de ISACA Privacy Principes. Binnenkort gaat de kennisgroep verder in op de maatregelen die bedrijven moeten nemen om te zorgen voor voldoende privacybescherming bij datadoorgifte.
Bron: Autoriteit Persoonsgegevens
