Persoonsgegevens beschermen buiten de EU. Nieuwe standaardcontractbepalingen verplicht tegen eind 2022

Guy Kindermans -

Persoonsgebonden informatie mag niet buiten de EU worden getransfereerd zonder solide waarborgen. Organisaties kunnen hiervoor onder meer een beroep doen op standaardcontractbepalingen, waarvan in 2021 nieuwe versies werden gepubliceerd.

De Europese privacy-wetgeving GDPR eist dat de persoonsgegevens van Europese inwoners ook buiten het EU-gebied tegen verlies, diefstal en misbruik zijn beschermd.

Hiervoor zijn er twee systemen. Ofwel erkent de EU dat de wetgeving van een land een passend beschermingsniveau biedt (adequaatheidsbesluit) of maken de betrokken organisaties afspraken over passende waarborgen, zoals ‘bindende bedrijfsvoorschriften’ (tussen bedrijven en vestigingen van een concern) of ‘standaardcontractbepalingen’ (standard contractual clauses, SCC’s).

SCC’s editie 2021

In juni 2021 publiceerde de EU nieuwe versies van deze ‘standaardcontractbepalingen’ (SCC’s), met de verplichting dat organisaties na 27 december 2022 hiervan gebruik maken, inclusief ter vervanging van bestaande overeenkomsten met SCC’s.

Het besluit met de nieuwe standaardcontractbepalingen licht (in de bijlage) toe hoe verantwoordelijken (controllers) en verwerkers (processors), met persoonsgegevens moeten omgaan, evenals derden aan wie de gegevens verder worden doorgegeven (third parties) inclusief hun verplichtingen en verantwoordelijkheden. In een reeks modules wordt rekening gehouden met verschillende doorgiftescenario’s van gegevens.

Het gebruik van standaardcontractbepalingen ontslaat in geen geval de verantwoordelijke en de verwerker(s) van de plichten en verplichtingen zoals voorzien in de GDPR. Integendeel, het besluit adviseert om eventueel nog bijkomende voorzieningen ter beveiliging te treffen.

Het nieuwe besluit eist tevens dat de naleving van de standaardcontractbepalingen door zowel de verantwoordelijke als de verwerker(s) kan worden aangetoond, van bij de aanvang en gedurende de hele duur van de (verwerkings)overeenkomst.

Het besluit specifieert hierbij een aantal verplichtingen, inclusief (indien mogelijk) de melding als een overheid buiten de EU toegang tot de persoonsgegevens zoekt. Dit maakt dat het aanwenden van standaardcontractbepalingen toch wat studiewerk en aandacht vereist.

Wat doen?

Enkele praktische aanbevelingen, onder meer op basis van een advies van de EDPB:

  • Inventariseer welke datatransfers persoonsgegevens buiten de EU voeren, met welke mechanismen, voor welke doeleinden
  • Ga na of SCC’s wel nodig zijn (Misschien heeft de EU voor het betrokken land een ‘adequaatheidsbesluit’ genomen.)
  • Ga na of de wetgeving in het land van bestemming van de persoonsgegevens de toepassing van de SCC’s niet onmogelijk maakt
  • Naast de algemene bepalingen moeten verantwoordelijken en verwerkers de module kiezen die op hun situatie van toepassing is
  • Voorzie een goed gedocumenteerd systeem dat de naleving van de SCC’s aantoont. Dat veronderstelt ook voorzieningen voor als een betrokkene (data subject) zijn of haar rechten wil laten gelden, inclusief juridische acties

Foto: Krzysztof Hepner via Unsplash

Categories: Nieuws
Tags:

Related Posts

acts
Nieuws

Akkoord over Digital Services Act en Digital Markets Act

Digitale diensten en markten hebben nood aan een open en veilige omgeving voor gebruikers, en gelijke kansen voor bedrijven. De EU zet een belangrijke stap voorwaarts met een akkoord over twee belangrijke wetten.

google analytics gdpr
Nieuws

Gebruik van Google Analytics gaat in tegen de GDPR. Wat nu?

Een uitspraak van de Oostenrijkse gegevensbeschermingsautoriteit bevestigt dat het doorsturen van persoonsgegevens in het kader van Google Analytics en Facebook Connect een overtreding is van de GDPR.

knowledgeflow en gdpr info
Nieuws

GDPR-Info.be en KnowledgeFlow brengen GDPR-training naar de werkvloer

De algemene principes van de nieuwe privacywetgeving zijn niet zo ingewikkeld. Maar alle medewerkers moeten toch geïnformeerd worden over die principes en een aantal richtlijnen kennen.