Afgelopen vrijdag is weer een nieuwe mijlpaal gezet in Privacyland: de nieuwe Standard Contractual Clauses (SCC’s) zijn aangenomen door de Europese Commissie! Deze vervangen de oude sets, die stamden uit 2001, 2004 en 2010 en nog onder de Privacy Richtlijn waren aangenomen. De roep om vernieuwing klonk al jaren, maar sinds de Schrems II-uitspraak afgelopen zomer, lijkt dit in een (relatieve) stroomversnelling te zijn gekomen. Zo werd afgelopen november de conceptversie van de nieuwe SCC’s gepubliceerd, waarna de Europese burger feedback kon geven. Inmiddels een aantal maanden verder heeft de Commissie een en ander verwerkt tot een definitieve versie. Wat mogen we hiervan verwachten?
De kans bestaat dat je denkt: "SCC’s? Wat moet ik ermee?". Elke organisatie die persoonsgegevens verwerkt of door een leverancier laat verwerken buiten de Europese Economische Ruimte (EER) dient volgens de Algemene verordening gegevensbescherming (AVG) zorg te dragen voor ‘passende waarborgen’. Dit omdat buiten Europa de AVG voor veel organisaties niet geldt, en persoonsgegevens toch beschermd moeten worden. Eén van de meest gebruikte middelen is het sluiten van een modelcontract dat is goedgekeurd door de Europese Commissie. Dat modelcontract wordt ook wel ‘Standard Contractual Clauses’ (SCC’s) of 'model clauses' genoemd – voor de leesbaarheid gaan we uit van SCC’s.
De goedgekeurde sets waren, zoals hierboven aangegeven, flink verouderd en bovendien niet op de AVG afgestemd. De roep om vernieuwing klonk dus al jaren. Pas toen het Hof van Justitie van de Europese Unie afgelopen zomer ook iets zei over de SCC’s in de Schrems II-uitspraak, werd niet lang daarna het concept voor een nieuwe versie gepubliceerd. Korte recap: het Hof gaf aan dat enkel het sluiten van de SCC’s niet voldoende was. Elke organisatie die persoonsgegevens exporteert naar buiten de EER, dient via een case-by-case assessment te toetsen of de wetgeving in het ontvangende land niet afdoet aan het beschermingsniveau dat de SCC’s creëren.
Nu is het dan zo ver: de nieuwe versie is gepubliceerd. Wat als eerste opvalt? De nieuwe SCC’s zijn modulair opgebouwd. Er zijn nu bepalingen voor de volgende situaties, waarmee vrijwel alle doorgiftes worden gedekt:
De oude sets dekten alleen de eerste twee situaties, waardoor partijen allerlei contractuele constructies opzetten om toch passende waarborgen te creëren. Die noodzaak is nu beperkt. Zoals voorheen kunnen de bepalingen geïntegreerd worden in bredere (commerciële) overeenkomsten. Er mag geen conflict ontstaan tussen de SCC’s en de andere afspraken, en deze andere afspraken mogen niet afdoen aan de rechten van betrokkenen.
Inhoudelijk zijn er nieuwe voorzieningen toegevoegd naar aanleiding van de Schrems II-uitspraak. Partijen garanderen nu dat ze ten tijde van het sluiten van de SCC’s geen reden hebben om aan te nemen dat de toepasselijke wetgeving in het ontvangende land, de importeur belet om te voldoen aan de SCC’s. Daaronder vallen ook gegevensvorderingen van overheidsinstanties, waar specifieke en gedetailleerde bepalingen voor zijn opgenomen. Daarnaast bevatten de sets kaders waarmee partijen dit kunnen toetsen, waaronder de omstandigheden van de doorgifte, de wetgeving in het ontvangende land en richtlijnen voor de toepassing hiervan, en aanvullende maatregelen die genomen zijn. Beide partijen dienen deze assessment vast te leggen, en te overhandigen aan de privacytoezichthouder op diens verzoek. Verwacht de importeur toch niet aan de SCC’s te kunnen voldoen? Dan dient de exporteur (de partij binnen de EER) te worden geïnformeerd.
De nieuwe versie sluit beter aan bij de AVG. Zo is een aparte verwerkersovereenkomst niet meer nodig: voor situatie 2 en 3 is artikel 28 (3) van de AVG integraal verwerkt. Ook de regeling voor subverwerkers sluit aan op artikel 28. Verdere doorgifte moet aan de AVG voldoen, doordat dit bijvoorbeeld naar een adequaat land gebeurt, of de SCC’s worden ook gesloten met de ontvangende partij. Ook aansprakelijkheid sluit grotendeels aan bij artikel 82 van de AVG. Tot slot neemt de verantwoordingsplicht een belangrijke plek in: beide partijen moeten kunnen aantonen dat ze aan de SCC’s voldoen.
Elke organisatie die nu één van de oude sets gebruikt, krijgt 18 maanden de tijd om de nieuwe bepalingen in hun overeenkomsten te integreren. De nieuwe SCC’s worden 20 dagen na publicatie van kracht. Vanaf dat moment kunnen ze dus ook worden meegenomen in nieuwe contracten.
Ben je benieuwd naar hoe je dit het beste kunt aanpakken? Neem dan contact met ons op.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.