Overslaan en naar de inhoud gaan

Kerstwerk dreigt voor datadoorgifte

Heeft u gegevens in de cloud? Heeft u een contract met een IT-dienstverlener buiten Europa? Grote kans dat er gebruik wordt gemaakt van de door de Europese Commissie opgestelde modelcontracten (standard contractual clauses) om de uitwisseling van persoonsgegevens mogelijk te maken. Als dat contract na 4 juni 2021 niet is herzien, heeft u vanaf 27 december een probleem.
Werken met kerst
© Shutterstock
Shutterstock

De Algemene Verordening Gegevensbescherming (AVG) kent strenge voorwaarden voor de doorgifte van persoonsgegevens buiten de EU/EER. Bij doorgifte naar landen waarvan de Europese Commissie niet heeft vastgesteld dat het een ‘passend beschermingsniveau’ voor persoonsgegevens waarborgt, wordt vaak gebruik gemaakt van de zogenaamde “standard contractual clauses” (SCC’s).

De Europese Commissie heeft deze SCC’s op 4 juni 2021 aangepast, onder meer wegens ontwikkelingen in Europese rechtspraak.

Gebruikers van deze contracten hadden een beperkte overgangsperiode waarin ze ofwel nog de oude versie van de SCC’s konden gebruiken, of overstappen op de nieuwe versie. Microsoft heeft haar documenten al in lijn gebracht met bovenstaande, maar dat geldt lang niet voor alle (IT)-dienstverleners.

Actie

De overgangsperiode eindigt op 27 december van dit jaar: als de oude SCC’s zijn gebruikt, moeten deze uiterlijk op 26 december 2022 worden omgezet naar de nieuwe SCC’s. Vanaf 27 december is doorgifte op basis van de oude SCC’s niet meer mogelijk.

Als u nog aan de slag moet met de nieuwe SCC’s is het volgende goed om te weten:

  • De SCC's moeten worden gebruikt in combinatie met de richtsnoeren die zijn opgesteld door European Data Protection Board over het treffen van aanvullende maatregelen, bijvoorbeeld aan welke eisen encryptie moet voldoen om effectief te zijn.
  • Commerciële aspecten zoals de kosten van het uitvoeren van audits bij de ontvanger, voorwaarden voor schadevergoeding (bijvoorbeeld tijdig ter kennis brengen van ingestelde vorderingen en bijstand verlenen aan de verantwoordelijke) zijn niet opgenomen in dit model en zullen dus uit onderhandeld moeten worden.
  • Let op de bijlagen, deze vereisen veel werk. Bijvoorbeeld bijlage 2 (beveiligingsmaatregelen): geen algemene bewoordingen over “security policies”, maar gedetailleerd beschrijven (pseudonymisation and encryption, measures for ensuring ongoing confidentiality, integrity, availability, resilience, etc.)
  • Voorafgaand aan het sluiten van SCC’s moet een zogenaamd "Data Transfer Impact Assessment" plaatsvinden.

Conclusie

Ik wens u fijne feestdagen en hoop dat uw contracten voor doorgifte van persoonsgegevens in orde zijn. Zo niet dan vrees ik dat u nog een flinke kluif heeft aan de overstap naar de nieuwe EU modelcontracten.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in