Written by: Audrey Malaise

Tic tac tic tac! 27 december komt eraan! 

Maakt jouw organisatie gebruik van een Amerikaanse provider? Werk je via Teams met je collega’s? Bevindt je helpdesk zich in Azië? Gebruik je Google Analytics op je website? Of is je cloud provider gevestigd buiten de Europese Economische Ruimte? Als het antwoord op een van deze vragen ja is, dan is het misschien een goed idee om de volgende blogpost lezen om schending van de GDPR te voorkomen.

Wat zijn internationale gegevensoverdrachten? 

Vandaag de dag zijn er maar weinig organisaties die al hun persoonsgegevens verwerken in hetzelfde land waar ze ook gevestigd zijn. Als ze dit al doen, dan is de kans eveneens groot dat een van hun verwerkers de persoonsgegevens toch buiten de EER verwerkt.

Een overdracht van persoonsgegevens binnen de Europese Economische Ruimte (hierna “EER”) vereist geen aanvullende maatregelen. Als de verwerking echter buiten de EER plaatsvindt, wordt deze beschouwd als een internationale gegevensoverdracht en moeten er enkele aanvullende maatregelen worden genomen.

Naast landen binnen de EER, heeft de Europese Commissie een lijst opgesteld van landen die een passend beschermingsniveau bieden, wat betekent dat zij een niveau van gegevensbescherming bieden dat adequaat is voor de GDPR. Voor meer informatie, check adequacy decisions.

Je controleert dus misschien best dubbel of al uw verwerkingen plaatsvinden binnen de EER of in een van de landen die als adequaat of ‘veilig’ beschouwd. Het gebeurt immers vaak dat een helpdesk, support, debugging team, escalatie van probleem, call enter etc. buiten een van deze landen gevestigd is. In dat geval zijn de persoonsgegevens die u verwerkt onderworpen aan een internationale gegevensoverdracht.

Het meest gebruikte mechanisme voor internationale gegevensoverdrachten is de integratie van standaardcontractbepalingen (hierna “SCC’s” genoemd) in uw contracten.

Wat zijn standaardcontractbepalingen (of SCC’s)? 

Standaardcontractbepalingen zijn een mechanisme dat passende waarborgen biedt in geval van internationale gegevensdoorgiften, zoals beschreven in artikel 46 van de GDPR. Deze bepalingen schrijven voor welke passende maatregelen zowel de gegevensexporteur als de gegevensimporteur zullen nemen om een passend beschermingsniveau te bieden voor de persoonsgegevens die internationaal worden verwerkt.

Een nieuwe reeks SCC’s 

In juni 2021 heeft de Europese Commissie een nieuwe reeks modelcontractbepalingen vastgesteld. Deze gemoderniseerde clausules, gebaseerd op de GDPR, blijven van toepassing op gegevensoverdrachten van voor de verwerking verantwoordelijken of verwerkers in de EU/EER (of anderszins onderworpen aan de GDPR) naar voor de verwerking verantwoordelijken of verwerkers die buiten de EU/EER zijn gevestigd (en niet onder de GDPR vallen).

Welke stappen moet je ondernemen om aan de nieuwe SCC’s te voldoen? 

1. Beoordeel uw internationale gegevensoverdrachten

De eerste stap is het identificeren van de internationale gegevensdoorgiften. Dit is het geval wanneer:

• Uw aanbieders toegang hebben tot persoonsgegevens van buiten de EER;
• U buitenlandse (buiten de EER) filialen heeft die toegang hebben tot persoonsgegevens;
• U persoonsgegevens verstuurt naar of ontvangt van klanten (…);
• De aanbieder, buitenlandse gelieerde onderneming en/of klant is gevestigd in een land buiten de EER en zij bieden geen passend beschermingsniveau.

Als dit het geval is, moet u ervoor zorgen dat de juiste maatregelen worden genomen om aan de voorschriften te blijven voldoen.

3. Update uw contracten

In geval van internationale doorgifte van gegevens met een land dat geen passend beschermingsniveau biedt, moet uw gegevensverwerkingsovereenkomst het gebrek aan voldoende bescherming compenseren.

Deze nieuwe deadline is de perfecte gelegenheid om te controleren of uw contracten de nodige SCC’s bevatten en, zo ja, of dat de nieuwe reeks SCC’s zijn. Uw organisatie zou hun aanbieders, gelieerde ondernemingen en/of klanten moeten benaderen om de overeenkomsten in die zin aan te passen.

3. Voer een overdrachtseffectbeoordeling uit

Het opnemen van SCC’s in uw contracten is niet voldoende om aan de GDPR te voldoen. U moet overdrachtseffectbeoordelingen (hierna “TIA’s”) uitvoeren voor deze verwerkingsactiviteiten die buiten de EER plaatsvinden. Deze beoordelingen zijn bedoeld om het beschermingsniveau van de doorgifte te evalueren en te bepalen of het gebruik van een doorgiftemechanisme (met name SCC’s) voldoende is.

Wanneer moet u uw SCC’s bijwerken? 

Zo snel mogelijk. Sinds 21 september 2021 moeten alle nieuwe contracten die worden gesloten de nieuwe reeks SCC’s bevatten. Om organisaties voldoende tijd te geven om hun contracten bij te werken die de vorige reeks SCC’s omvatten, heeft de Europese Commissie een overgangsperiode voorzien.

De einddatum van deze overgangsperiode komt snel dichterbij: Noteer 27 december 2022 alvast in de agenda’s. Tot die tijd kunnen organisaties nog steeds vertrouwen op de vorige SCC’s om persoonsgegevens rechtmatig door te geven aan derde landen.  Na deze datum moet u ervoor zorgen dat u passende maatregelen neemt om ervoor te zorgen dat je organisatie in 2023 AVG-conform blijft.

Wat zijn de risico’s als je de SCC’s niet bijwerkt? 

Het meest voordehandliggende risico zijn boetes. Net als elke vorm van schending van de AVG, kan het ontbreken van een goed mechanisme voor internationale gegevensoverdrachten leiden tot een onderzoek van de toezichthoudende autoriteit. Dit kan dan weer leiden tot boetes die hoog kunnen oplopen.

Een ander risico waarmee rekening moet worden gehouden, heeft betrekking op je reputatie en commerciële relaties. Naarmate privacy meer en meer aandacht krijgt in het publieke oog, willen organisaties niet overkomen alsof ze niet om gegevensbescherming geven. Als u verouderde SCC’s hebt, lijkt het alsof u gegevensbescherming niet het belang geeft dat het verdient.