In de blogreeks over de doorgifte van persoonsgegevens naar derde landen dit keer aandacht voor de standaard modelcontracten. In eerdere edities werd al uiteengezet hoe de adequaatheidsbesluiten kunnen helpen voor een aantal landen buiten de Europese Unie (EU) en ook over het Privacy Shield dat van toepassing is voor doorgifte van persoonsgegevens naar de Verenigde Staten. Nu geldt er niet voor alle landen een adequaatheidsbesluit, dus naast de Verenigde Staten is er nog een restcategorie van landen waarmee het wel wenselijk kan zijn om persoonsgegevens uit te wisselen. Voor die landen zijn er standaard modelcontracten.
Om te beginnen is het van belang te benadrukken dat juist in deze situaties het goed afstemmen en controleren van de bescherming van persoonsgegevens die je wilt doorgeven extra belangrijk is. Er is immers geen adequaatheidsbesluit, waarmee het uitgangspunt is dat er een onvoldoende beschermingsniveau voor persoonsgegevens in het betreffende land aanwezig is. Er wordt dus uitgegaan van een hoger risico.
Om te zorgen dat de persoonsgegevens wel goed beveiligd worden moet je een goed contract afsluiten. Daarmee wordt het vooral een juridische aangelegenheid of alles goed is afgesproken. De vraag is dus wat ‘goed’ in dit geval betekent. Om daar invulling aan te geven zijn er de standaard modelcontracten. Onder de huidige Richtlijn bescherming persoonsgegevens bestaan deze al en ook onder de privacyverordening blijven deze bestaan.
Na het vaststellen is het voor organisaties vrij om deze contracten te gebruiken. Omdat de bepalingen in de privacyverordening precies vastleggen welke maatregelen van toepassing zijn om voldoende bescherming te bieden mogen ze niet gewijzigd worden. Ze mogen echter wel worden opgenomen als onderdeel van een breder contract. Dat kan ook gaan om een breder contract over de verwerking van persoonsgegevens.
Ook hier is het dus eerst zaak om te bepalen wie verantwoordelijke of verwerker is zodat je weet welk contract je kunt gebruiken. Daarna is het zaak om het contract goed te regelen zodat de afspraken helder vastliggen en van toepassing zijn. Of er een update komt van de modelcontracten naar aanleiding van de privacyverordening is nog niet duidelijk.