Skip to main content
Europese Commissie publiceert nieuwe SCC’s
Gegevensbescherming & privacy

Europese Commissie publiceert nieuwe SCC’s

By juni 11, 2021No Comments

De Europese Commissie heeft op 4 juni 2021 nieuwe Standard Contractual Clauses gepubliceerd voor doorgifte van persoonsgegevens naar “Derde Landen”. 

AVG

De AVG bepaalt dat persoonsgegevens niet zomaar aan personen of organisaties die buiten de Europese Economische Ruimte (zogenoemde Derde Landen) gevestigd zijn mogen worden doorgegeven.

Dat mag alleen als in die Derde Landen het door de AVG gewaarborgde beveiligingsniveau voor persoonsgegevens niet wordt ondermijnd. De AVG bepaalt een aantal mogelijkheden om dit te bewerkstelligen, o.a.:

  1. Doorgifte op basis van een adequaatheidsbesluit (zoals het US-EU Privacy Shield);
  2. Doorgifte op basis van modelcontracten.

1. In de Schrems II zaak deed het Hof van Justitie van de Europese Unie uitspraak over de (on)geldigheid van het Privacy Shield tussen de EU en de VS. In dit blog schreven wij daarover.

2. Op 4 juni jl. publiceerde de Europese Commissie nieuwe Standard Contractual Clauses (“SCC’s”), oftewel modelcontracten voor de doorgifte van persoonsgegevens aan Derde Landen. Uit de toelichting blijkt dat de Europese Commissie een nieuwe versie van de SCC’s onder meer nodig achtte, vanwege de complexiteit van de digitale economie en ontwikkelingen daarin. Tevens gaf inwerkingtreding van de AVG reden om de SCC’s ter herzien.

 

Standard Contractual Clauses

de belangrijkste verschillen

De SCC’s van 4 juni jl. voorzien in algemene artikelen (waarover niet kan worden onderhandeld) en zogenoemde modulaire artikelen. De modulaire artikelen zien op de specifieke situatie waarin de dataoverdracht plaatsvindt. Deze artikelen zijn op maat gemaakt naar de rol en verantwoordelijkheden van partijen in relatie tot de dataverwerking in die specifieke situatie. Partijen die de SCC’s sluiten, zullen op voorhand een keuze uit deze artikelen moeten maken.

Met het oog op het verzekeren van transparantie moeten betrokkene een kopie van de SSC’s krijgen en in het bijzonder worden geïnformeerd over de categorieën van persoonsgegevens die worden verwerkt en doorgegeven aan Derde Landen. Voorts kunnen betrokkene de SCC’s als derde begunstigden inroepen en afdwingen.

Conform de nieuwe SCC’s kan de gegevensexporteur voortaan ook een partij zijn die buiten de EU is gevestigd. Op grond van de oude SCC’s was dat onmogelijk. Dit werd echter wenselijk geacht omdat indien partijen buiten de EU zijn gevestigd, de gegevensverwerking op grond van het territoriale toepassingsgebied alsnog onder de AVG kan vallen.

De nieuwe SCC’s voorzien voorts in de mogelijkheid dat meerdere partijen, partij bij de SCC’s kunnen zijn. Tevens voorzien de SCC’s in de mogelijkheid dat er in de toekomst partijen aan kunnen worden toegevoegd.

Schrems II

In de Schrems II zaak is het Privacy Shield tussen de EU en de VS ongeldig verklaard, mede vanwege het feit dat de VS persoonsgegevens van EU-burgers in mocht zien en gebruiken, terwijl dit niet werd beperkt tot noodzakelijke gegevens. De nieuwe SCC’s bepalen onder meer dat partijen garanderen dat zij geen reden hebben om aan te nemen dat de wetten en gebruiken in het Derde Land inclusief verzoeken van lokale autoriteiten voor het vrijgeven van de persoonsgegevens voorkomen dat de gegevensimporteur aan de verplichtingen onder de SSC’s kan voldoen. Voorts voorzien de nieuwe SSC’s in een informatieplicht bij een dergelijk verzoek van een Derde Land en de garantie dat een dergelijk verzoek door de gegevensimporteur juridisch wordt beoordeeld.

De nieuwe SCC’s voegen tot slot drie bijlagen toe.

  1. In bijlage 1 worden partijen verplicht de partijen bij de overeenkomst te beschrijven, de doorgifte te beschrijven (welke categorieën persoonsgegevens worden doorgegeven) en de bevoegde toezichthoudende autoriteit.
  2. In bijlage 2 beschrijven partijen de technische en organisatorische maatregelen die zijn genomen om persoonsgegevens te beschermen.
  3. En in bijlage 3 worden tot slot de subverwerkers die de gegevensimporteur (mogelijk) inschakelt beschreven.

 

Tot slot

De nieuwe SCC’s treden op 27 juni 2021 inwerking. Er geldt een overgangsperiode van drie maanden voor het gebruiken van de oude SCC’S voor nieuwe gegevensoverdrachten. Voor bestaande gegevensoverdrachten kunnen de oude SCC’S nog 18 maanden worden gebruikt. Daarna moeten organisaties hun bestaande gegevensoverdrachten omzetten naar de nieuwe SCC’s.

Wilt u meer informatie?

Heeft u vragen of wilt u meer informatie over het uitwisselen van persoonsgegevens aan Derde Landen en de nieuwe SCC’s? Neem dan contact op met een van de advocaten van team Privacyrecht. Wij houden u op de hoogte van alle ontwikkelingen in het Privacyrecht.

 

Juni 2021

Privacy instellingen

Bepaal welke cookies u wilt toestaan.

U kunt deze instellingen op elk gewenst moment wijzigen. Dit kan er echter toe leiden dat sommige functies niet langer beschikbaar zijn. Raadpleeg de helpfunctie van uw browser voor informatie over het verwijderen van cookies. Voor meer informatie omtrent onze cookies, klik hier.

Onderstaand kunt u de verschillende soorten cookies in- en uitschakelen:

 

Deze website zal

  • Essentieel: onthoud uw instelling voor cookietoestemming
  • Essentieel: sessiecookies toestaan
  • Essentieel: verzamel informatie die u invoert in een nieuwsbrief met contactformulieren en andere formulieren op alle pagina's
  • Essentieel: onthoud de taalversie die je hebt geselecteerd

Deze website zal niet

  • Onthoud uw inloggegevens
  • Functionaliteit: onthoud sociale media-instellingen
  • Functionaliteit: onthoud geselecteerde regio en land
  • Analyse: bijhouden van uw bezochte pagina's en de genomen interactie
  • Analyses: houd uw locatie en regio bij op basis van uw IP-nummer
  • Analytics: houd de tijd bij die op elke pagina wordt doorgebracht
  • Analytics: verhoog de datakwaliteit van de statistische functies
  • Adverteren: verzamel persoonlijk identificeerbare informatie zoals naam en locatie

Deze website zal

  • Uw instelling voor cookietoestemming onthouden

Deze website zal niet

  • Sessiecookies toestaan
  • Het IP-adres onthouden (waaronder locatie en regio)
  • Technische kenmerken opslaan (zoals browser)
  • De zoekwoorden opslaan die u gebruikt
  • Het platformtype opslaan dat u gebruikt
  • Opslaan via welke pagina u op onze site bent gekomen
  • Individuele beveiligingsinstellingen (o.a. anti-spam) toepassen
  • De bezochte pagina’s en genomen interactie opslaan
  • Geselecteerde taalversies onthouden
  • Social media-instellingen onthouden
  • De tijd die op een specifieke pagina wordt doorgebracht onthouden
  • Persoonlijke, identificeerbare informatie verzamelen (zoals naam, locatie etc.)
  • De datakwaliteit van statistische functies verhogen

Deze website zal

  • Uw instelling voor cookietoestemming onthouden
  • Sessiecookies toestaan
  • Het IP-adres onthouden (waaronder locatie en regio)
  • Technische kenmerken opslaan (zoals browser)
  • De zoekwoorden opslaan die u gebruikt
  • Het platformtype opslaan dat u gebruikt
  • Opslaan via welke pagina u op onze site bent gekomen

Deze website zal niet

  • Individuele beveiligingsinstellingen (o.a. anti-spam) toepassen
  • De bezochte pagina’s en genomen interactie opslaan
  • Geselecteerde taalversies onthouden
  • Social media-instellingen onthouden
  • De tijd die op een specifieke pagina wordt doorgebracht onthouden
  • Persoonlijke, identificeerbare informatie verzamelen (zoals naam, locatie etc.)
  • De datakwaliteit van statistische functies verhogen

Deze website zal

  • Uw instelling voor cookietoestemming onthouden
  • Sessiecookies toestaan
  • Het IP-adres onthouden (waaronder locatie en regio)
  • Technische kenmerken opslaan (zoals browser)
  • De zoekwoorden opslaan die u gebruikt
  • Het platformtype opslaan dat u gebruikt
  • Opslaan via welke pagina u op onze site bent gekomen
  • Individuele beveiligingsinstellingen (o.a. anti-spam) toepassen
  • De bezochte pagina’s en genomen interactie opslaan
  • Geselecteerde taalversies onthouden
  • Social media-instellingen onthouden
  • De tijd die op een specifieke pagina wordt doorgebracht onthouden
  • Persoonlijke, identificeerbare informatie verzamelen (zoals naam, locatie etc.)
  • De datakwaliteit van statistische functies verhogen

Deze website zal niet

Opslaan en sluiten