Op 4 juni 2021 heeft de Europese Commissie twee nieuwe modelcontracten gepubliceerd: een verwerkersovereenkomst en een contract voor de internationale doorgifte van persoonsgegevens. Het nieuwe doorgiftecontract vervangt de drie model doorgifte-contracten, die stammen uit het pré-AVG tijdperk maar onder overgangsrecht nog gebruikt mochten worden. De beide nieuwe modellen zijn in lijn met de eisen zoals neergelegd in de Algemene Verordening Gegevensbescherming (AVG) en houden tevens rekening met de uitspraak van het Europese Hof van Justitie in de zogeheten Schrems II zaak, waarin het EU-US Privacy Shield ongeldig werd verklaard. De European Data Protection Board (EDPB) publiceerde daarnaast op 18 juni jl. een definitieve lijst met aanvullende aandachtspunten.
Standaard verwerkersovereenkomst
Allereerst heeft de Europese Commissie een standaard verwerkersovereenkomst voor nationaal of Europees gebruik gepubliceerd. Indien een verwerkingsverantwoordelijke gebruik maakt van de diensten van een verwerker, moeten zij samen een verwerkersovereenkomst afsluiten. In een verwerkersovereenkomst leggen partijen afspraken vast over wat de verwerker wel en niet mag doen met persoonsgegevens. Het doel van deze standaard is het helpen van bedrijven om conform de AVG afspraken te maken met hun verwerkers, en daarmee te voldoen aan art. 28 lid 3 en lid 4 AVG. Het model is niet verplicht maar kan voor de praktijk – zeker wanneer partijen onderling het niet eens kunnen worden over welk model verwerkersovereenkomst gehanteerd moet worden – bruikbare handvatten bieden.
Nieuwe modelcontracten
Naast bovengenoemde standaard verwerkersovereenkomst heeft de Europese Commissie een nieuw modelcontract gepubliceerd voor de doorgifte van persoonsgegevens naar landen buiten de EER (“derde landen”). Op de doorgifte van persoonsgegevens binnen de EER zijn geen extra regels van toepassing. Binnen de EER is het niveau van gegevensbescherming immers gelijk. Dat komt omdat alle lidstaten zich moeten houden aan de AVG. Doorgifte naar een land buiten de EER daarentegen, is aan strengere regels onderworpen. De AVG bepaalt dat het in beginsel verboden is om persoonsgegevens te exporteren naar derde landen, die naar EU-maatstaven een ontoereikend beschermingsniveau bieden.
De Europese Commissie besluit over de “adequacy” van een land door middel van adequaatheidsbesluiten. Zoals bijvoorbeeld voor het Verenigd Koninkrijk of Japan. Voor de Verenigde Staten gold tot 2015 een adequaatheidsbesluit genaamd Safe Harbor. Het Europese Hof van Justitie oordeelde dat jaar echter dat dit verdrag te weinig garanties bood om de privacy van Europeanen te waarborgen. De opvolger van Safe Harbor, een jaar later was het EU-US Privacy Shield dat in 2020 ongeldig werd verklaard door het Europese Hof van Justitie in het bekende Schrems II arrest (zie hierna).
Doorgifte aan landen buiten de EER met een ontoereikend beschermingsniveau is slechts in bepaalde gevallen toegestaan. Bijvoorbeeld bij gebruik van modelcontracten die zijn goedgekeurd door de Europese Commissie, de zogenaamde Europese modelcontracten, ook wel modelcontractbepalingen, standard contractual clauses, of SCC. Deze contracten bevatten bepalingen die passende waarborgen bieden. Bedrijven kunnen modelcontracten gebruiken voor de doorgifte van persoonsgegevens naar landen buiten de EER. Door het gebruik van modelcontracten, kunnen bedrijven persoonsgegevens van bijvoorbeeld klanten en werknemers goed beschermen. Dus ook wanneer ze die persoonsgegevens doorsturen naar landen waar persoonsgegevens in principe minder goed beschermd zijn dan in Europa, zo stelt ook de Autoriteit Persoonsgegevens (AP).
Schrems II
Hoewel de uitspraak van het Europese Hof van Justitie in het bijzonder gericht was op het gebruik van het Privacy Shield, heeft deze ook gevolgen voor Europese modelcontracten. In deze uitspraak verklaarde het Hof het Privacy Shield ongeldig als doorgiftemechanisme, omdat het vereiste passende beschermingsniveau niet werd gewaarborgd. Daarnaast maakte het Hof in deze zaak duidelijk dat niet kan worden volstaan met het tekenen van contracten. Er moet daadwerkelijk worden gekeken of hiermee voldoende bescherming wordt geboden en of er aanvullende maatregelen moeten worden getroffen. Met de nieuwe modelcontracten beoogt de Europese Commissie hierop in te spelen. Daarnaast heeft de EDPB op 18 juni 2021 definitieve aanbevelingen gepubliceerd over aandachtspunten waarop moet worden gelet om te bepalen of extra maatregelen nodig zijn. De aanbevelingen die de EDPB doet zijn praktischer en concreter geworden ten opzichte van de eerste versie. Zo worden nu verschillende voorbeelden van maatregelen genoemd die een bedrijf kan nemen om te voorkomen dat Amerikaanse veiligheidsdiensten toegang krijgen tot persoonsgegevens van Europeanen. Dat is een welkome aanvulling voor de praktijk.
Inhoud van de nieuwe contracten
Een belangrijke aanpassing ten opzichte van de oude modelcontracten is de modulaire opzet van het nieuwe contract. Deze nieuwe opzet biedt meer flexibiliteit, en maakt het expliciet mogelijk dat er meer dan twee partijen aansluiten. Het nieuwe modelcontract is anders opgebouwd dan het oude, en bestaat uit een algemeen gedeelte en vier modules voor de volgende specifieke situaties:
- De doorgifte van verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke
- De doorgifte van verwerkingsverantwoordelijke naar verwerker
- De doorgifte van (sub)verwerker naar (sub)verwerker
- De doorgifte van (sub)verwerker naar verwerkingsverantwoordelijke
Waar moet u op letten?
Bedrijven die momenteel een modelcontract als doorgifte-instrument gebruiken krijgen van de AP in totaal 18 maanden de tijd om de huidige doorgiftecontracten in lijn te brengen met het nieuwe modelcontract. Daarbij dienen bedrijven dus in kaart te brengen of zij de oude doorgiftecontracten gebruiken. Indien dat zo is, zullen zij dus tijdig moeten overstappen op de nieuwe bepalingen.
In het nieuwsbericht van de AP over de recente update van de EDPB meldde de AP nog dat de Europese Commissie in gesprek is met de VS over een mogelijke opvolger van het Privacy Shield. Of het ooit zover komt? Tot die tijd is en blijft het de verantwoordelijkheid van de onderneming zelf om te zorgen voor een veilige doorgifte.
Heeft u naar aanleiding van het bovenstaande vragen over de nieuwe modelcontracten, of over de doorgifte van persoonsgegevens door uw bedrijf naar landen buiten de EER? Neem vrijblijvend contact op met een van de leden van het privacy team.