Aandachtspunten bij het opstellen
en analyseren van ICT-contracten

Mr. Lynn Pype en mr. Liesa Boghaert (Timelex)

Webinar op donderdag 16 mei 2024


Handelspraktijken en consumentenbescherming:
recente topics onder de loep

Dr. Stijn Claeys en mr. Arne Baert (Racine)

Webinar op vrijdag 30 augustus 2024

De nieuwe SCC’s zijn beschikbaar: hoe pas je nu je data-export overeenkomsten aan? (Sirius Legal)

Auteur: Bart Van den Brande (Sirius Legal)

Publicatiedatum: 17/06/2021

Sinds het Schrems II arrest van afgelopen zomer, waarover we op onze blog al herhaaldelijk berichtten, is het exporteren van persoonsgegevens buiten de EU behoorlijk omslachtig geworden.  Vooral het wegvallen van het “Privacy Shield” tussen de EU en de VS zorgt voor heel wat complicaties en dwingt Europese bedrijven om op grote schaal Data Export Agreements af te sluiten met niet-Europese (meestal Amerikaanse) partners met daarin zogenaamde “Standard Contract Clauses”.  Dat zijn modeldocumenten die ter beschikking gesteld worden door de Europese Commissie om copy/paste in Data Export Agreements gestoken te worden en zo op contractueel niveau veilige export te garanderen.  

Een van de grote problemen bij het afsluiten van Data Export Agreements was echter dat die SCC’s of Standard Contract Clauses van de Europese Commissie verouderd waren.  Ze dateerden nog van voor de inwerkingtreding van de GDPR en waren niet aangepast aan die GDPR, noch aan de huidige technologische en economische werkelijkheid.  

Die oude SCC’s zijn nu sinds 6 juni 2021 eindelijk vervangen door nieuwe, volledige up-to-date versies en Europese ondernemers kunnen nu aan de slag om met hun partners buiten de EU juridisch sluitende en veilige Data Export Agreements af te sluiten.  We geven hieronder een samenvatting van wat je moet weten over die nieuwe SCC’s en op onze downloadpagina vind je ook downloadbare exemplaren van de nieuwe SCC’s, samen met onze Vendor Assessment Form die je kan gebruiken om in kaart te brengen of je buitenlandse partners al dan niet persoonsgegevens van jou ontvangen en of ze er correct en conform GDPR mee omgaan.  Zo kan je snel, overzichtelijk en met een minimum aan moeite werken aan GDPR compliance binnen je bedrijf. 

Data Export?

Data export is daarbij overigens élke uitwisseling van gegevens met een partner buiten de EU.  Het kan gaan om een hosting provider bij wie je serverruimte huurt, een offshore call center of klantendienst, een developer of online marketing agency buiten Europa, een cloudopslagdienst , een e-mail service provider of zowat elke online service of tool die je je kan indenken.

GDPR staat data export naar landen buiten de EU alleen toe als de ontvanger buiten de EU een gepast beschermingsniveau kan garanderen.  

Een handvol landen wordt sowieso geacht een gepast niveau van bescherming te bieden, maar voor de meeste andere landen heb je (sinds het wegvallen van het EU-US Privacy Shield een Data Export Agreement nodig, waarin die beschermingsgarantie zwart op wit gegeven wordt.

“Passende bijkomende waarborgen”

Sinds het Schrems II arrest weten we dat het louter ondertekenen van (de oude versie van) de SCC’s op zich niet volstaat.  Je hebt als Europese ondernemer de plicht om voor élke data export een gedocumenteerde assessment uit te voeren van de risico’s die verbonden zijn aan een bepaalde data export en om, indien nodig, van de ontvanger “passende bijkomende waarborgen” te vragen.  Wat die passende bijkomende waarborgen kunnen zijn, hebben we al enkele keren voor jou op een rijtje gezet in dit artikel over Mailchimp of in dit webinar op onze Youtube pagina.

Nieuwe SCC’s: “Schrems proof”

De nieuwe modelcontractbepalingen zijn niet enkel volledig aangepast aan de tekst en inhoud van de GDPR, ze zijn ook “Schrems proof” gemaakt. Ze bevatten immers heel wat clausules die tegemoet komen aan de eisen van het Europees Hof van Justitie om een voorafgaande risk assessment te maken en om waar nodig bijkomende waarborgen te eisen.  

Let op: dat betekent niet dat een afzonderlijk risk assessment én bijkomende afzonderlijke waarborgen niet meer noodzakelijk zijn.  Je moet als ondernemer nog steeds de nodige voorafgaande onderzoeken doen voor je persoonsgegevens uitvoert buiten de EU, maar de nieuwe SCC’s zijn in elk geval qua inhoud wel al voorzien op die verplichting en dat was bij de oude niet het geval.

“Modulaire” aanpak

Vroeger bestonden een aantal “versies” van de SCC’s naast elkaar.  Afhankelijk van de situatie koos je dan één van die versies en die goot je in een overeenkomst, bijvoorbeeld voor data export tussen een Europese verantwoordelijke en een niet-Europese verwerker.

Dat systeem wordt nu vervangen door één globale set SCC’s, die je door het copy/pasten of het weglaten van afzonderlijke clausules (modules) kan aanpassen aan jouw persoonlijke situatie.  Dat zorgt volgens de Europese Commissie alvast voor vereenvoudiging, maar tegelijk dreigt dit toch voor niet-juristen het gebruik van deze modeldocumenten ernstig te bemoeilijken, in onze ogen.  Precies daarom hebben wij op de DIY Legal pagina op onze website die uitsplitsing alvast wel voor jou gemaakt.  Je vindt er 4 afzonderlijk bruikbare versies van de nieuwe SCC’s, afhankelijk van jouw specifieke situatie:

  • Je deelt als controller data met een processor buiten de EU
  • Je deelt als controller data met een andere controller buiten de EU
  • Je deelt als processor data met een andere processor buiten de EU
  • Je deelt als processor data met een controller buiten de EU
Vervang tijdig je bestaande SCC’s samen met Sirius Legal!

De bestaande SCC’s zijn nog drie maanden geldig voor nieuwe data export.  Voor bestaande data export geldt nog een termijn van 15 maanden, maar daarna moeten ook alle bestaande Standard Contract Clauses vervangen zijn door de nieuwe regelgeving. 

Aangezien de inhoud van de nieuwe SCC’s toch aanzienlijk veranderd is en er bijvoorbeeld heel wat bijkomende garanties en verplichtingen instaan, betekent dat dat je als bedrijf heel wat van die bestaande modelcontracten opnieuw zal moeten onderhandelen of dat je op zijn minst zeer aandachtig de nieuwe versies zal moeten nalezen voor je ze ondertekent. Onder andere door de noodzaak om een begeleidende impact assessment uit te voeren, zal het afsluiten van de nieuwe modelovereenkomsten geen louter administratief werkje zijn.

Sirius Legal helpt je daarbij.  Je kan terecht op onze website voor onze “Data Export Compliance” service, waarmee we jouw bedrijf helpen doorheen het doolhof van oude en nieuwe SCC’s en “bijkomende passende maatregelen”.

Zorg in elk geval voor een goed overzicht van al je data exports in een spreadsheet, controleer met wie je wel of geen lopende Data Export Agreement hebt en zorg voor een tijdige uitnodiging tot aanpassing als er al eentje afgesloten werd in het verleden of tot het afsluiten van een nieuwe Data Export Agreement als er eerder nog geen was afgesloten.  

Vergeet bij dit alles ook geen individuele impact assessment uit te voeren én deze goed te documenteren.  Als er op een dag sprake is van een cyberaanval of hacking bij een van je toeleveranciers en het blijkt dat jij de regels niet volgde alvorens jouw data aan hem of haar toe te vertrouwen, dreig je immers al snel zélf aansprakelijk te zijn voor de gevolgen van zo’n datalek…

Weet bij dat alles ook dat data export voor heel wat overheden, ook voor onze Belgische Gegevensbeschermingsautoriteit, een aandachtspunt is.  De Duitse autoriteiten bijvoorbeeld hebben deze nog week aangekondigd dat ze uitgebreide controles zullen houden op data export door Duitse bedrijven.  Die controles zullen in de eerste plaats gericht zijn op het gebruik van e-mail service providers, hostingbedrijven, tracking via cookies, applicatiebeheer en uitwisseling van klantengegevens binnen groepen van bedrijven, bijvoorbeeld op basis van Customer Data Platformen.

Lees hier het originele artikel

» Bekijk alle artikels: Privacy & Gegevensbescherming