Persoonsgegevens en 'derde landen': Hoe geef je invulling aan een goed contract?

May 18, 2017

In de blogreeks over de doorgifte van persoonsgegevens naar derde landen dit keer aandacht voor de standaard modelcontracten. In eerdere edities werd al uiteengezet hoe de adequaatheidsbesluiten kunnen helpen voor een aantal landen buiten de Europese Unie (EU) en ook over het Privacy Shield dat van toepassing is voor doorgifte van persoonsgegevens naar de Verenigde Staten. Nu geldt er niet voor alle landen een adequaatheidsbesluit, dus naast de Verenigde Staten is er nog een restcategorie van landen waarmee het wel wenselijk kan zijn om persoonsgegevens uit te wisselen. Voor die landen zijn er standaard modelcontracten.

Om te beginnen is het van belang te benadrukken dat juist in deze situaties het goed afstemmen en controleren van de bescherming van persoonsgegevens die je wilt doorgeven extra belangrijk is. Er is immers geen adequaatheidsbesluit, waarmee het uitgangspunt is dat er een onvoldoende beschermingsniveau voor persoonsgegevens in het betreffende land aanwezig is. Er wordt dus uitgegaan van een hoger risico.

Om te zorgen dat de persoonsgegevens wel goed beveiligd worden moet je een goed contract afsluiten. Daarmee wordt het vooral een juridische aangelegenheid of alles goed is afgesproken. De vraag is dus wat ‘goed’ in dit geval betekent. Om daar invulling aan te geven zijn er de standaard modelcontracten. Onder de huidige Richtlijn bescherming persoonsgegevens bestaan deze al en ook onder de privacyverordening blijven deze bestaan.

Twee mogelijkheden van standaard modelcontracten:

  • Het gebruik van standaard modelcontracten die zijn vastgesteld door de Europese Commissie (EC)
  • Het gebruik van standaard modelcontracten die zijn vastgesteld door de toezichthouder (Autoriteit Persoonsgegevens) en geaccordeerd door de EC.

Na het vaststellen is het voor organisaties vrij om deze contracten te gebruiken. Omdat de bepalingen in de privacyverordening precies vastleggen welke maatregelen van toepassing zijn om voldoende bescherming te bieden mogen ze niet gewijzigd worden. Ze mogen echter wel worden opgenomen als onderdeel van een breder contract. Dat kan ook gaan om een breder contract over de verwerking van persoonsgegevens.

Op dit moment zijn er drie modelcontracten die zijn vastgesteld door de Europese Commissie:

  1. Een modelcontract van de EC voor doorgifte tussen twee verantwoordelijken waarbij de een gevestigd is binnen de EU en de ander daarbuiten, zie: Beschikking van de Commissie van 15 juni 2001 (2001/497/EG).
  2. Een door het bedrijfsleven opgesteld alternatief modelcontract voor de doorgifte tussen twee verantwoordelijken waarbij de een gevestigd is binnen de EU en de ander daarbuiten, zie: Beschikking van de Commissie van 27 december 2004 (2004/915/EG).
  3. Een modelcontract voor doorgifte van één verantwoordelijke gevestigd binnen de EU naar een verwerker (degene die in opdracht van de verantwoordelijke persoonsgegevens verwerkt) in een derde land, zie: Besluit van de Commissie van 5 februari 2010 (2010/87/EU).

Ook hier is het dus eerst zaak om te bepalen wie verantwoordelijke of verwerker is zodat je weet welk contract je kunt gebruiken. Daarna is het zaak om het contract goed te regelen zodat de afspraken helder vastliggen en van toepassing zijn. Of er een update komt van de modelcontracten naar aanleiding van de privacyverordening is nog niet duidelijk.

Download