Let op: nieuw modelcontract voor veilige internationale doorgifte persoonsgegevens

Geeft uw bedrijf persoonsgegevens door naar een land buiten de Europese Economische Ruimte en gebruikt u momenteel (een van de) modelcontracten van de Europese Commissie voor een veilige gegevensdoorgifte? Dan moet uw bedrijf binnen 18 maanden over op het nieuwe modelcontract! Lees in onderstaand artikel de aanpassingen ten opzichte van de oude modelcontracten.

Wat is de achtergrond van het modelcontract?
Wanneer een bedrijf persoonsgegevens wenst door te geven binnen de Europese Unie (hierna: EU) hoeft in beginsel ‘alleen’ de Algemene Verordening Gegevensbescherming (hierna: AVG) in acht te worden genomen. Dit komt doordat de AVG rechtstreeks van toepassing is binnen de lidstaten van de EU. Hierdoor wordt binnen de gehele EU het niveau van gegevensbescherming gelijk geacht.

Wanneer een bedrijf echter persoonsgegevens wenst door te geven buiten de EU, naar een zogenoemd derde land of een internationale organisatie, dan gelden er andere regels. In beginsel geldt dat een bedrijf (of organisatie) alleen persoonsgegevens mag doorgeven naar derde landen indien deze landen beschikken over een passend beschermingsniveau voor de verwerking van persoonsgegevens. Een derde land heeft een passend beschermingsniveau wanneer de Europese Commissie (hierna: EC) een besluit heeft afgegeven waarin zij stelt dat het betreffende derde land een passend beschermingsniveau biedt. Dit wordt ook wel een adequaatheidsbesluit genoemd¹.

Beschikt een derde land niet over een adequaatheidsbesluit, dan kunnen persoonsgegevens nog steeds worden doorgegeven bijvoorbeeld op basis van bindende bedrijfsvoorschriften² of indien er passende waarborgen worden geboden én de betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken³. Deze passende waarborgen kunnen worden geboden door wettelijke instrumenten die staan uitgewerkt in artikel 46 lid 2 AVG. Een van deze instrumenten is de modelcontractbepaling die door de EC kan worden vastgesteld, ook wel een standaardbepaling of in het Engels Standard Contractual Clauses (SCCs).

Indien bedrijven voor de doorgifte gebruikmaken van een goedgekeurd modelcontract mogen zij in beginsel persoonsgegevens doorgeven naar derde landen. Door het modelcontract wordt namelijk een veilige doorgifte geborgd en zullen de persoonsgegevens en de rechten van de betrokkenen (bijvoorbeeld uw klanten of personeel) voldoende worden beschermd. De modelcontracten kunnen onder meer worden opgenomen (als bijlage) in andere overeenkomsten tussen de uitwisselende partijen.

Onder de oude Europese richtlijn gegevensbescherming 95/46 waren er drie modelcontracten door de EC goedgekeurd. De oude modelcontracten waren echter in sommige gevallen niet meer voldoende dekkend en konden niet (meer) in iedere situatie worden toegepast. De modelcontracten waren dan ook zeer toe aan vernieuwing onder de AVG.

Nieuw modelcontract
Op 4 juni 2021 heeft de EC een gemoderniseerd modelcontract voor de doorgifte van persoonsgegevens naar derde landen goedgekeurd. Het nieuwe modelcontract is flexibeler, is van toepassing op meerdere situaties en verhoudingen en is in lijn gebracht met de voorschriften van de AVG. Denk hierbij aan de documentatie- en verantwoordingsplicht en aangescherpte regels in het kader van transparantie en verdere gegevensdoorgifte.

Daarnaast houdt het nieuwe modelcontract rekening met de uitspraak van het Europees Hof van Justitie (hierna: Hof) van juli 2020 in het Schrems II-arrest. In het Schrems II-arrest heeft het Hof namelijk gesteld dat modelcontracten een geldige grondslag kunnen bieden voor internationale gegevensdoorgifte, mits in de praktijk (bijvoorbeeld door aanvullende maatregelen) een gelijkwaardig beschermingsniveau kan worden geborgd. Het nieuwe modelcontract speelt hier tevens op in.

Wat is er – kort gezegd – veranderd?

  • Waar er voorheen drie verschillende modelcontracten waren voor de internationale gegevensdoorgifte, is er nu één modelcontract bestaande uit een algemeen gedeelte en vier ‘modules’. Naast de reeds bestaande situaties tussen (1) een Europese verwerkingsverantwoordelijke en een verwerkingsverantwoordelijke in een derde land en (2) een Europese verwerkingsverantwoordelijke en een verwerker in een derde land, zijn er nu ook modules voor de doorgifte van persoonsgegevens van (3) een Europese (sub)verwerker naar een (sub)verwerker in een derde land en (4) van een Europese (sub)verwerker naar een verwerkingsverantwoordelijke is een derde land.
  • Het nieuwe modelcontract is dan ook gemakkelijker te implementeren nu het één modelcontract betreft waarbij meerdere doorgiftescenario’s worden gedekt, in plaats van drie afzonderlijke contracten. In onze optiek is de komst van deze vier verschillende modules zeer van belang. Er bestaat namelijk een grote kans dat bedrijven momenteel ‘verkeerde’ modelcontracten hebben gesloten bij gebrek aan een passender model. Wij adviseren bedrijven dan ook aan zich te laten adviseren over de verschillende modules en verhoudingen.
  • Meer flexibiliteit voor complexe(re) verwerkingsketens. Met het nieuwe modelcontract en de vier verschillende modules is het mogelijk voor meer dan twee partijen om zich bij de clausules aan te sluiten. Denk bijvoorbeeld aan de verhouding verwerkingsverantwoordelijke, verwerker en subverwerker die allen – tegelijkertijd of op verschillende momenten – het nieuwe modelcontract ondertekenen.
  • Praktisch overzicht van de stappen die bedrijven moeten nemen om te voldoen aan de AVG na het Schrems II-arrest, maar ook voorbeelden van aanvullende maatregelen die bedrijven kunnen nemen naast de modelcontractbepalingen om zodoende een gelijkwaardig beschermingsniveau te waarborgen. De Europese toezichthouder, de European Data Protection Board (EDPB), heeft aanbevelingen opgesteld voor dit soort aanvullende maatregelen. Denk hierbij aan encryptie, minimale gegevensdoorgifte en het uitvoeren van een ‘transfer impact assessment’. De definitieve aanbevelingen zullen binnenkort worden gepubliceerd. Wij zullen deze definitieve aanbevelingen toelichten in een opvolgende blog.

Nu het nieuwe modelcontract is geactualiseerd en in overeenstemming is gebracht met de AVG, kan het model gemakkelijk(er) worden toegepast in de praktijk door bedrijven en organisaties. Indien bedrijven het model gebruiken en eventueel aanvullende maatregelen implementeren in de praktijk, kunnen zij er zeker van zijn te voldoen aan de voorschriften van de AVG.

Wat moet u nu doen als bedrijf of organisatie?
Voor verwerkingsverantwoordelijken en verwerkers die momenteel al gebruikmaken van de oude modelcontractbepalingen is voorzien van een overgangsperiode van 18 maanden. Dit betekent dat voor 4 december 2022 het nieuwe modelcontract dient te zijn gesloten en te zijn geïmplementeerd binnen uw bedrijf.

Naast het nieuwe modelcontract voor gegevensdoorgifte heeft de EC op 4 juni 2021 nog een tweede modelcontractbepaling goedgekeurd, namelijk een standaardverwerkersovereenkomst tussen een verwerkingsverantwoordelijke en verwerker. Dit staat in beginsel los van de gegevensdoorgifte. De EC kan namelijk op grond van artikel 28 lid 7 AVG ook modelcontractbepalingen vaststellen in het kader van verwerkersovereenkomsten. Dit zullen wij tevens nader bespreken in een opvolgend blog.

Heeft u vragen over internationale gegevensdoorgifte of over welke module van het nieuwe modelcontract op uw doorgifte van toepassing is? Neem dan contact op met Femmie Schets, Kim de Bonth of met één van de andere medewerkers van de Business Unit Privacy, ICT en Intellectuele Eigendom.


¹Zie hier de link voor alle huidige adequaatheidsbesluiten.
²Een bindend bedrijfsvoorschrift is een beleid dat kan gelden binnen een concern of een groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen voor de doorgifte van persoonsgegevens naar derde landen. In deze blog worden de bindende bedrijfsvoorschriften (ook wel binding corporate rules) buiten beschouwing gelaten.
³Artikel 46 AVG.

Heeft u vragen of wilt u een afspraak maken?