Bijna een jaar geleden werd het Privacy Shield ongeldig verklaard. Persoonsgegevens uitwisselen met partijen buiten de EU werd opeens heel ingewikkeld. Nu komt de Europese Commissie met nieuwe modelcontracten. Binnen anderhalf jaar moet u hierop zijn overgestapt.
Waarvoor wordt het modelcontract gebruikt?
Bedrijven kunnen een modelcontract gebruiken voor de doorgifte van persoonsgegevens vanuit de Europese Economische Ruimte (EER) naar landen daarbuiten. Door een modelcontract te gebruiken, hoeven ondernemers zo’n contract niet volledig zelf op te stellen.
Wanneer is een modelcontract vereist?
Als u persoonsgegevens doorgeeft vanuit de EU naar een land daarbuiten, dat niet hetzelfde beschermingsniveau kent. Om persoonsgegevens te mogen uitwisselen, moet het beschermingsniveau namelijk minimaal gelijk zijn aan het niveau in de EER.
Een modelcontract is onder meer van belang voor bedrijven die persoonsgegevens uitwisselen met bedrijven en organisaties in de VS.
Gebruikt u nu al een modelcontract?
Dan krijgt u 18 maanden de tijd om uw huidige contracten in lijn te brengen met het nieuwe modelcontract. Het nieuwe modelcontract vervangt dus de modelcontracten die de Europese Commissie eerder vastgesteld heeft.
De weg van Schrems II naar nieuwe modelcontracten
In de zomer van 2020 werd het Privacy Shield nietig verklaard in de rechtszaak Schrems II. Tegelijk werden er vraagtekens gezet bij de Standard Conctractual Clauses (SCC’s). Dit zijn de modelcontracten die veelvuldig gebruikt worden voor ‘veilige’ gegevensdoorgifte buiten Europa.
Het Hof gaf aan dat modelcontracten wel een geldige grondslag kunnen bieden voor doorgifte van gegevens naar landen buiten de EU. Hiervan is echter alleen sprake als er een gelijkwaardig beschermingsniveau kan worden gewaarborgd.
Het nieuwe modelcontract bevat daarom onder meer een overzicht van de stappen die bedrijven moeten nemen om te voldoen aan de wet na Schrems II.
Eind december bespraken wij in een blog al de nieuwe concepten voor de modelcontracten gemaakt door de Europese Commissie. Nu zijn de modelcontracten dus officieel goedgekeurd. Binnen anderhalf jaar moet u hierop overgestapt zijn als u gegevens uitwisselt met een land buiten de EER.
Let op!
Er zijn ook landen waar de EU een zogenaamd adequaatheidsbesluit mee heeft gesloten. De gegevensbescherming in die landen zijn van een vergelijkbaar niveau als binnen de EER. Het sluiten van een modelcontract is dan niet nodig.
Een lijst met deze landen vindt u hier.
Het nieuwe modelcontract in modules
Het nieuwe modelcontract is flexibeler dan de oude modelcontracten en bestrijkt meerdere situaties. Vooral het ontbreken van de (sub)verwerker-(sub)verwerker relatie werd als een groot gemis ervaren. Daarom zijn in het document verschillende modules opgenomen.
Het nieuwe modelcontract bestaat uit een algemeen gedeelte en de volgende 4 modules:
doorgifte van verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke;
doorgifte van verwerkingsverantwoordelijke naar verwerker;
doorgifte van (sub)verwerker naar (sub)verwerker;
doorgifte van (sub)verwerker naar verwerkingsverantwoordelijke.
Tijd om actie te ondernemen!
De Autoriteit Persoonsgegevens roept organisaties op om te bekijken of zij in lopende contracten de oude modelcontracten gebruiken.
Is dit het geval? Én hebben de contracten een looptijd langer dan achttien maanden?
Dan moeten zij tijdig overstappen op het nieuwe modelcontract. Bij ieder contact dat u vanaf nu sluit rondom de doorgifte van persoonsgegevens buiten de EER, geldt dat het nieuwe modelcontract direct gebruikt moet worden.
Kunt u ondersteuning gebruiken bij de overstap naar het nieuwe modelcontract? Onze ICT-juristen staan voor u klaar en helpen u graag verder. Neem contact met ons op via 010 2290 646 of contact@legalz.nl
Blijf op de hoogte
Op de hoogte blijven van deze en andere ontwikkelingen in ICT Recht? Meld u dan nu aan voor onze maandelijkse nieuwsbrief en krijg onze blogs automatisch in uw inbox.