GDPR reminder: voorzie een update van je Standard Contract Clauses voor de deadline van 27 december! (Sirius Legal)

Privacy & Gegevensbescherming | 15 november 2022

Auteur: Bart Van den Brande (Sirius Legal)

Wie partners of software tools buiten de EU gebruikt om persoonsgegevens te verwerken, pakt er best even zijn of haar agenda bij: de Standard Contract Clauses die zo’n export van data buiten de EU mogelijk maken hebben een update gehad en de deadline alle bestaande contracten te vervangen door de nieuwe versies verloopt op 27 december 2022.

Hoe zit dat nu weer met data export en SCC’s?

Standaardcontractbepalingen (“SCC’s”) zijn contractbepalingen die uitdrukkelijk zijn goedgekeurd door de Europese Commissie en die ervoor moeten zorgen dat de niet-Europese partners met wie jij data deelt contractueel garanderen dat die data bij hen net zo veilig behandeld wordt als hier in Europa onder GDPR.

De EU heeft een (erg) kort lijstje van “veilige” landen, waar je sowieso persoonsgegevens mee mag uitwisselen. Die landen worden geacht een adequaat en gelijkwaardig niveau van wettelijke bescherming te bieden aan persoonsgegevens als onze Europese GDPR.

Belangrijke landen voor bedrijven die met IT en software bezig zijn zitten echter niet in dat lijstje. Wie Amerikaanse software tools gebruikt, wie werkt met developers in Indië of Oekraïne, of wie off shore call centers in Marokko of Zuid-Afrika gebruikt is onder GDPR verplicht om zélf te zorgen voor contractuele en technische veiligheidswaarborgen alvorens data kan verzonden worden naar servers buiten de EU.

Die veiligheidswaarborgen bestaan enerzijds uit de Standard Contractual Clauses of SCC’s die de Europese Commissie opstelde. Deze moeten copy/paste opgenomen worden in je samenwerkingsovereenkomst met je partner buiten de EU.

De Europese Commissie heeft in juni 2021 nieuwe versies van die SCC’s gepubliceerd. De oude versies waren immers niet aangepast aan de GDPR, die sinds 2018 in Europa van toepassing is. Die nieuwe versies vind je op onze website als gratis download in 4 handig bruikbare versies.

Belangrijke data voor vernieuwing

Sinds september 2021 mogen de oude versies van de SCC’s niet meer gebruikt worden in nieuwe overeenkomsten. Voor bestaande overeenkomsten bestond een overgangsperiode, maar die loopt dus af op 27 december 2022. Tegen dan moeten alle bestaande overeenkomsten waar oude SCC’s in opgenomen staan, vervangen worden door nieuwe contracten met de nieuwe SCC’s. Wie dit niet tijdig doet, begaat een inbreuk op GDPR en dat kan aanleiding geven tot boetes tot € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet en/of schadeclaims van particulieren. Best niet te lang wachten dus…

Bovenop het ondertekenen van SCC’s, moet je overigens in ALLE omstandigheden een risicoanalyse doen die onderzoekt of je data wel veilig is in het land van bestemming. Die risicoanalyse wordt een Data Transfer Impact Assessment of DTIA genoemd.