Standard Contractual Clauses worden flexibeler en veeleisender

Afgelopen vrijdag publiceerde de Europese Commissie de langverwachte nieuwe Standaard Contractvoorwaarden (SCCs), die bedrijven kunnen gebruiken om op een rechtmatige manier persoonsgegevens naar landen buiten de Europese Unie en Europese Economische Ruimte (EU/EER) te sturen. De nieuwe SCCs zijn erg flexibel opgesteld, waardoor ze bruikbaar zijn in meer situaties dan voorheen. Tegelijk zijn ze ook moeilijker te gebruiken, deels doordat ze zoveel opties bieden, maar deels ook doordat ze veeleisender zijn dan de oude: de exporteurs van gegevens moeten veel informatie geven over de wijze waarop de doorgifte plaatsvindt en de manier waarop de gegevens worden beschermd tijdens de doorgifte en daarna.

De belangrijkste veranderingen op een rij:

1. De nieuwe SCCs werken in meer situaties

De oude SCCs waren beperkt tot gegevensuitwisseling tussen twee verwerkingsverantwoordelijken (een binnen en een buiten de EU/EER), of van een verwerkingsverantwoordelijke binnen, naar een verwerker buiten de EU/EER. Nu kan ook gekozen worden voor de situatie dat twee verwerkers onderling gegevens moeten uitwisselen, of dat een verwerker gegevens stuurt naar een verwerkingsverantwoordelijke. Daarmee zijn veel mogelijke, maar niet alle scenario’s gedekt.

De nieuwe SCCs bieden nu ook de mogelijkheid om meer dan twee partijen te laten ondertekenen. Dat is erg welkom, zeker omdat je ook later nog partijen kunt toevoegen. Je kunt zo de hele keten van een complexe verwerking binden aan dezelfde afspraken, waarbij de gegevens ook heen en weer kunnen gaan tussen de EU/EER en daarbuiten, wat steeds vaker gebeurt. Bij klinische onderzoeken, bijvoorbeeld, zijn vaak meerdere ziekenhuizen betrokken. Zij kunnen dan op basis van dezelfde overeenkomst gegevens opsturen naar het analysebureau, dat buiten de EU/EER gevestigd kan zijn. Of het altijd zo makkelijk kan, zal moeten blijken. Wat als een nieuwe partij een verwerker is in een derde land, terwijl de oorspronkelijke SCC gericht was op doorgifte aan een verwerkingsverantwoordelijke?

2. De nieuwe SCCs stellen strengere voorwaarden

De nieuwe SCCs moesten voldoen aan de uitspraak van het Europese Hof van Justitie in de zaak Schrems-II, waarin het Hof stelde dat gegevens alleen internationaal kunnen worden verzonden op basis van SCCs, als die ook daadwerkelijk kunnen worden nageleefd door de ontvangende partij. Als in een land regels gelden, die in strijd zijn met de Europese standaarden voor gegevensbescherming, moet de gegevensexporteur maatregelen nemen, om te voorkomen dat de rechten en vrijheden van de betrokkenen schade op kunnen lopen.

Dat is nogal een eis. De exporteur van gegevens moet in de nieuwe SCCs een analyse opnemen van de relevante wet- en regelgeving in het doelland. En als de exporteur de gegevens naar verschillende landen stuurt, direct of indirect, wordt dat een heel ingewikkelde taak. Eigenlijk zou het goed zijn als de Europese Commissie de markt daarin leidt en publicaties maakt over relevante wet- en regelgeving in belangrijke doellanden (en regio’s), voor belangrijke, gegevensintensieve branches en met voorstellen komt voor maatregelen die kunnen helpen om eventuele tekortkomingen te dichten.

Nu ligt die opdracht bij de exporterende partij. Die moet de geldende wet- en regelgeving dus kennen, en met passende technische en organisatorische maatregelen komen om te zorgen dat de persoonsgegevens goed beschermd blijven, zelfs als die wetten en regels tekortschieten. Dat maakt ook dat de regels niet langer geschikt zijn voor veel partijen die nu nog werken met de oude SCCs, zoals hyperscale cloudproviders, die nu eenmaal gedwongen kunnen worden om de gegevens die ze verwerken ook ter beschikking te stellen aan de Amerikaanse inlichtingendiensten.

3. De nieuwe SCCs dwingen meer transparantie af

Als een exporteur gebruikmaakt van de nieuwe SCCs, is deze er ook verantwoordelijk voor om de betrokkenen daarover te informeren. Er bestaat in de AVG altijd een uitgebreide informatieplicht, maar die komt ook terug in de SCCs. Sterker nog: de SCCs verplichten het de exporteur om ook de SCCs zelf ter beschikking te stellen aan de betrokkenen. Het is wel toegestaan om delen weg te lakken, maar alleen als daar goede redenen voor zijn en het niet ten koste gaat van de mogelijkheden voor de betrokkenen om hun rechten uit te oefenen. Dat betekent ook dat het inzichtelijker gaat worden welke achterliggende partijen deel uitmaken van de verwerkingen buiten de EU/EER, zeker als de partijen ervoor kiezen om de lijst met subverwerkers op te nemen in de bijlage. Dat is niet verplicht.

4. Iedereen die vertrouwt op oude SCCs heeft 18 maanden om over te stappen

De nieuwe SCCs zijn per direct bruikbaar. Maar overstappen is niet eenvoudig. Het zal nodig zijn om het stappenplan voor gegevensdoorgiften van de EDPB te volgen:

1. Ken je gegevensdoorgiften: beschrijf ze in detail.

2. Kies een rechtsmechanisme (bijvoorbeeld SCCs) voor de doorgifte.

3. Bepaal de effectiviteit van dat mechanisme, door een analyse te maken van de lokale wet- en regelgeving.

4. Bepaal welke maatregelen nodig zijn om gaten in de lokale wet- en regelgeving te dichten en de gegevens toch voldoende te beschermen.

5. Zorg ervoor dat die technische en organisatorische maatregelen ook daadwerkelijk zijn geïmplementeerd.

6. Evalueer de doorgifte regelmatig en bepaal of aanvullende maatregelen nodig zijn.

De nieuwe SCCs beschermen persoonsgegevens beter dan de oude, doordat ze duidelijke transparantie en stevige maatregelen afdwingen. Daarmee werkt de AVG steeds verder door bij verwerkingen buiten de EU/EER. Tegelijk is het duidelijk dat de SCCs niet voor iedereen meer een werkzaam middel kan zijn, als de oude zijn uitgefaseerd. Voor partijen die op betrekkelijk overzichtelijke schaal gegevens willen uitwisselen met andere landen, zullen de SCCs goed kunnen werken, maar een goede analyse van de situatie is dan wel noodzaak. Voor hyperscale cloudproviders zijn de nieuwe SCCs waarschijnlijk minder bruikbaar, omdat zij te veel details moeten delen en te veel partijen met elkaar moeten koppelen. Dat maakt het erg onduidelijk hoe zij nog wel hun internationale doorgiften kunnen verantwoorden.

Gepubliceerd op
8/6/2021
Standaard Contractvoorwaarden, SCCs, Standard Contactual Clauses, bescherming persoonsgegevens