Let op: nieuw modelcontract voor veilige internationale doorgifte persoonsgegevens

Geeft uw bedrijf persoonsgegevens door naar een land buiten de Europese Economische Ruime en gebruikt u momenteel (een van de) modelcontracten van de Europese Commissie voor een veilige gegevensdoorgifte? Dan moet uw bedrijf binnen 18 maanden over op het nieuwe modelcontract! Lees in onderstaand artikel de aanpassingen ten opzichte van de oude modelcontracten.

Wat is de achtergrond van het modelcontract?

Wanneer een bedrijf persoonsgegevens wenst door te geven binnen de Europese Unie (hierna: EU) hoeft in beginsel ‘alleen’ de Algemene Verordening Gegevensbescherming (hierna: AVG) in acht te worden genomen. Dit komt doordat de AVG rechtstreeks van toepassing is binnen de lidstaten van de EU. Hierdoor wordt binnen de gehele EU het niveau van gegevensbescherming gelijk geacht.

Wanneer een bedrijf echter persoonsgegevens wenst door te geven buiten de EU, naar een zogenoemd derde land of een internationale organisatie, dan gelden er andere regels. In beginsel geldt dat een bedrijf (of organisatie) alleen persoonsgegevens mag doorgeven naar derde landen indien deze landen beschikken over een passend beschermingsniveau voor de verwerking van persoonsgegevens. Een derde land heeft een passend beschermingsniveau wanneer de Europese Commissie (hierna: EC) een besluit heeft afgegeven waarin zij stelt dat het betreffende derde land een passend beschermingsniveau biedt. Dit wordt ook wel een adequaatheidsbesluit genoemd¹.

Beschikt een derde land niet over een adequaatheidsbesluit, dan kunnen persoonsgegevens nog steeds worden doorgegeven bijvoorbeeld op basis van bindende bedrijfsvoorschriften² of indien er passende waarborgen worden geboden én de betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken³. Deze passende waarborgen kunnen worden geboden door wettelijke instrumenten die staan uitgewerkt in artikel 46 lid 2 AVG. Een van deze instrumenten is de modelcontractbepaling die door de EC kan worden vastgesteld, ook wel een standaardbepaling of in het Engels Standard Contractual Clauses (SCCs).

Indien bedrijven voor de doorgifte gebruikmaken van een goedgekeurd modelcontract mogen zij in beginsel persoonsgegevens doorgeven naar derde landen. Door het modelcontract wordt namelijk een veilige doorgifte geborgd en zullen de persoonsgegevens en de rechten van de betrokkenen (bijvoorbeeld uw klanten of personeel) voldoende worden beschermd. De modelcontracten kunnen onder meer worden opgenomen (als bijlage) in andere overeenkomsten tussen de uitwisselende partijen.

Onder de oude Europese richtlijn gegevensbescherming 95/46 waren er drie modelcontracten door de EC goedgekeurd. De oude modelcontracten waren echter in sommige gevallen niet meer voldoende dekkend en konden niet (meer) in iedere situatie worden toegepast. De modelcontracten waren dan ook zeer toe aan vernieuwing onder de AVG.

Nieuw modelcontract
Op 4 juni 2021 heeft de EC een gemoderniseerd modelcontract voor de doorgifte van persoonsgegevens naar derde landen goedgekeurd. Het nieuwe modelcontract is flexibeler, is van toepassing op meerdere situaties en verhoudingen en is in lijn gebracht met de voorschriften van de AVG.

Daarnaast houdt het nieuwe modelcontract rekening met de uitspraak van het Europees Hof van Justitie (hierna: Hof) van juli 2020 in het Schrems II-arrest. In het Schrems II-arrest heeft het Hof namelijk gesteld dat modelcontracten een geldige grondslag kunnen bieden voor internationale gegevensdoorgifte, mits in de praktijk (bijvoorbeeld door aanvullende maatregelen) een gelijkwaardig beschermingsniveau kan worden geborgd. Het nieuwe modelcontract speelt hier ook op in.

Wat is er veranderd ten opzichte van oude modelcontracten?

• Algemeen deel en vier specifieke modulen

Waar er voorheen drie verschillende modelcontracten golden voor de internationale gegevensdoorgifte, geldt er nu één modelcontract bestaande uit een algemeen gedeelte en vier ‘modulen’. Naast de al bestaande situaties tussen (1) een verwerkingsverantwoordelijke en een verwerkingsverantwoordelijke en (2) een verwerkingsverantwoordelijke en een verwerker, zijn er nu ook modulen voor de doorgifte van persoonsgegevens van (3) een (sub)verwerker naar een (sub)verwerker en (4) van een (sub)verwerker naar een verwerkingsverantwoordelijke.

De verwerkingsverantwoordelijke of de (sub)verwerker die de persoonsgegevens doorgeeft wordt doorgaans ook wel de ‘gegevensexporteur’ genoemd en de verwerkingsverantwoordelijke of de (sub)verwerker die de persoonsgegevens ontvangt de ‘gegevensimporteur’. Deze termen worden ook gehanteerd in het modelcontract.

Met de komst van het nieuwe modelcontract is het niet alleen mogelijk om afspraken te maken tussen een gegevensexporteur in de EU en een gegevensimporteur in een derde land, maar ook tussen twee partijen die zich beide bevinden in een derde land. Dit betekent dat de gegevensexporteur niet langer hoeft te zijn gevestigd binnen de EU, maar bijvoorbeeld ook kan zijn gevestigd in de Verenigde Staten. Hiermee wordt aangesloten bij het extraterritoriale toepassingsgebied van de AVG.

Het nieuwe modelcontract houdt dan ook rekening met meerdere doorgiftescenario’s en complexe(re) verwerkingsketens. Naast de algemene bepalingen dienen verwerkingsverantwoordelijken en verwerkers de module(n) te kiezen die op hun situatie van toepassing is. Wij vinden de komst van deze vier verschillende modulen erg belangrijk. Er bestaat namelijk een grote kans dat bedrijven momenteel ‘verkeerde’ modelcontracten hebben gesloten bij gebrek aan een passender model. Wij adviseren bedrijven dan ook zich te laten adviseren over de verschillende modulen en verhoudingen.

• Meer flexibiliteit omtrent toetreden

Met het nieuwe modelcontract en de vier verschillende modulen is het mogelijk voor meer dan twee partijen om zich bij het modelcontract aan te sluiten. Denk bijvoorbeeld aan de verhouding verwerkingsverantwoordelijke, verwerker en subverwerker die allemaal – tegelijkertijd of op verschillende momenten door middel van de zogenoemde ‘docking-bepaling’ – het nieuwe modelcontract ondertekenen.

Bovendien staat het de gegevensexporteur en gegevensimporteur vrij om het modelcontract in een breder contract op te nemen en om andere bepalingen of meer waarborgen toe te voegen, mits deze niet (in)direct in strijd zijn met het modelcontract of afbreuk doen aan bepaalde grondrechten en vrijheden. Verwerkingsverantwoordelijken en verwerkers worden zelfs aangemoedigd – mede in het kader van het Schrems II-arrest – om door middel van contractuele verplichtingen meer waarborgen te bieden in aanvulling op het modelcontract.

• Modelcontract en verwerkersovereenkomst in één

Het modelcontract bevat naast de vereisten voor een veilige internationale gegevensdoorgifte, ook de bepalingen die de AVG stelt aan een rechtsgeldige verwerkersovereenkomst. Wanneer een verwerkingsverantwoordelijke (of verwerker) nu gebruikmaakt van een (sub)verwerker in een derde land, dan hoeven partijen ‘alleen nog maar’ het nieuwe modelcontract te sluiten. Partijen mogen uiteraard wel aanvullende afspraken maken, mits deze (wederom) niet strijdig zijn met het modelcontract en de AVG.

• Derde-begunstigden en meer transparantie richting betrokkenen

Met de komst van het nieuwe modelcontract moeten betrokkenen – enkele uitzonderingen daargelaten – de mogelijkheid krijgen om zich als derde-begunstigden op het modelcontract te kunnen beroepen en deze waar nodig te doen gelden.

In dit kader voorziet het nieuwe modelcontract ook in meer transparantie richting betrokkenen over de gegevensdoorgifte en het gebruik van modelcontracten. De verwerkingsverantwoordelijke heeft immers al een bestaande verplichting om aan betrokkenen informatie te verstrekken over het feit dat hij voornemens is hun persoonsgegevens door te geven aan een derde land. Wanneer deze doorgiften gebaseerd zijn op het modelcontract, dan moet die informatie nu ook vermelden hoe een kopie van het modelcontract kan worden verkregen of waar deze kan worden geraadpleegd. De betrokkenen dienen namelijk in kennis te worden gesteld van de categorieën verwerkte persoonsgegevens en eventuele verdere doorgiften, mede om zich als derde-begunstigden op het modelcontract te kunnen beroepen. Dit brengt wellicht ook aanpassingen met zich mee voor bijvoorbeeld privacyverklaringen.

Ook de gegevensimporteur moet de betrokkenen via een individuele mededeling of op zijn website, in een transparant en gemakkelijk format, op de hoogte brengen van een contactpunt dat bevoegd is om eventuele klachten af te handelen. Dit wordt ook wel de ‘verhaal-bepaling’ genoemd in het modelcontract.

• Specifieke waarborgen in het kader van het Schrems II-arrest

Het modelcontract voorziet in specifieke waarborgen in het kader van Schrems II. In het modelcontract zijn bepalingen opgenomen met betrekking tot lokale wetten en praktijken die gevolgen kunnen hebben voor de naleving van het modelcontract. De doorgifte (en verwerking) van persoonsgegevens op grond van het modelcontract mag bijvoorbeeld niet plaatsvinden als de wetten en praktijken van een ontvangend derde land de gegevensimporteur beletten om aan het modelcontract te voldoen.

Daarnaast bevat het modelcontract ook verplichtingen voor de gegevensimporteur in het geval sprake is van toegang tot persoonsgegevens door overheidsinstanties in het derde land. Zo stemt de gegevensimporteur ermee in de wettigheid van een verzoek van een overheidsinstantie te toetsen en zijn er bepalingen opgenomen over gegevensminimalisering.

Verder moeten partijen in staat zijn naleving van het modelcontract aan te kunnen tonen. Ook dient de gegevensimporteur ermee in te stemmen eventuele vragen te beantwoorden, zich aan audits te onderwerpen en zich te houden aan vastgestelde maatregelen door de toezichthoudende autoriteit die door beide partijen is aanvaard.

• Uitgebreide bijlagen bij het modelcontract

In de bijlagen bij het modelcontract dienen partijen onder meer uitgebreid de gegevensdoorgiften te beschrijven, waaronder ook de frequentie van de doorgiften en de bewaartermijnen, en dienen partijen de bevoegde toezichthoudende autoriteit aan te wijzen (bijlage I). Verder staan er uitgebreide voorbeelden van technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen (bijlage II) en dienen de subverwerkers te worden beschreven (bijlage III).

Welke (aanvullende) technische en organisatorische maatregelen?

Wanneer bedrijven het nieuwe modelcontract gebruiken kunnen zij er vrij zeker van zijn te voldoen aan de voorschriften van de AVG. In bepaalde gevallen biedt een derde land echter toch te weinig bescherming om naleving van de AVG te waarborgen. Naast het gebruik van het modelcontract dienen partijen dan ook een ‘data transfer impact assessment’ uit te voeren. Hierbij dient te worden beoordeeld of het instrument voor de gegevensdoorgifte doeltreffend is in het ontvangende derde land.

Indien blijkt dat er een onvoldoende gelijkwaardig niveau aan gegevensbescherming wordt geboden, dienen er naast het modelcontract aanvullende maatregelen te worden genomen. Op deze manier kan er toch een veilige gegevensdoorgifte worden geborgd naar het derde land. Welke aanvullende technische en organisatorische maatregelen nodig zijn, kan worden beoordeeld aan de hand van de aanbevelingen van de Europese toezichthouder, de European Data Protection Board (hierna: EDPB). Denk hierbij aan encryptie, pseudonimiseren en minimale gegevensdoorgifte.

De definitieve aanbevelingen zijn recent gepubliceerd. Wij zullen deze aanbevelingen en de data transfer impact assessment toelichten in een opvolgend artikel.

Wat moet u nu doen als bedrijf of organisatie?

Het nieuwe modelcontract treedt in werking op 27 juni 2021. Voor verwerkingsverantwoordelijken en verwerkers die momenteel gebruikmaken van de oude modelcontractbepalingen is voorzien van een overgangsperiode van 18 maanden. Dit betekent dat voor 27 december 2022 het nieuwe modelcontract dient te zijn gesloten en te zijn geïmplementeerd binnen uw bedrijf. Dit geldt voor alle oude modelcontractbepalingen die zijn of worden gesloten voor 27 september 2021. Indien uw bedrijf na 27 september 2021 gebruik wenst te maken van modelcontracten voor internationale gegevensdoorgifte, moet er worden gekozen voor het nieuwe modelcontract.

Breng verder voor 27 december 2022 uw gegevensstromen in kaart om zo te bepalen in welke gevallen het nieuwe modelcontract moet worden gesloten en welke module(n) op uw verhouding(en) van toepassing kunnen zijn, sluit het nieuwe modelcontract en voer een data transfer impact assessment uit om aanvullende maatregelen te bepalen. Pas eventuele andere documenten aan op de nieuwe situatie, zoals verwerkersovereenkomsten en privacyverklaringen.

Naast het nieuwe modelcontract voor gegevensdoorgifte heeft de EC op 4 juni 2021 nog een tweede modelcontractbepaling goedgekeurd, namelijk een standaard verwerkersovereenkomst tussen een verwerkingsverantwoordelijke en verwerker. Dit staat in beginsel los van de gegevensdoorgifte. Dit zullen wij ook verder toelichten in een opvolgend artikel.

Heeft u vragen over internationale gegevensdoorgifte of over welke module op uw doorgifte van toepassing is? Neem dan contact op met één van de medewerkers van de Business Unit Privacy, ICT en Intellectuele Eigendom.

—
¹Zie hier de link voor alle huidige adequaatheidsbesluiten.
²Een bindend bedrijfsvoorschrift is een beleid dat kan gelden binnen een concern of een groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen voor de doorgifte van persoonsgegevens naar derde landen. In deze blog worden de bindende bedrijfsvoorschriften (ook wel binding corporate rules) buiten beschouwing gelaten.
³Artikel 46 AVG.