Over­een­kom­sten voor inter­na­ti­o­na­le gege­vens­door­gif­ten, of Standard Con­trac­tu­al Clau­ses (“SCC”), moe­ten vóór 27 decem­ber dit jaar zijn aan­ge­past, zoals ook al toe­ge­licht in ons vorige blog. Orga­ni­sa­ties die de dead­line niet halen ris­ke­ren een sub­stan­ti­ë­le boe­te of bevel van de toe­zicht­hou­der om de door­gif­te per direct te sta­ken. In deze blog beschrij­ven we staps­ge­wijs hoe de SCC moe­ten wor­den geup­da­te, inclu­sief prak­ti­sche hand­vat­ten.

Iden­ti­fi­ca­tie hui­di­ge SCC en nood­zaak slui­ten SCC
De SCC is het meest gebruik­te door­gif­te mecha­nis­me voor per­soons­ge­ge­vens naar lan­den bui­ten de Euro­pees Eco­no­mi­sche Ruim­te Het is ove­ri­gens niet altijd bekend bij orga­ni­sa­ties dat SCC de basis van de door­gif­te, aan­ge­zien SCC vaak een bij­la­ge zijn bij een hoofd­over­een­komst, waar­over vaak niet uit­voe­rig wordt onder­han­deld.

Voor­al voor gro­te­re orga­ni­sa­ties kan het iden­ti­fi­ce­ren en beoor­de­len van alle con­trac­ten een behoor­lijk tijd­ro­ven­de klus zijn. Deze taak kan een stuk een­vou­di­ger en effi­ci­ën­ter wor­den door gebruik te maken  van legal tech. Zo kun­nen bepaal­de AI sys­te­men her­ken­nen of in een con­trac­tu­e­le rela­tie SCC zijn gebruikt. Het inzet­ten van der­ge­lij­ke sys­te­men leidt door­gaans tot een sub­stan­ti­ë­le las­ten­ver­lich­ting bin­nen het juri­di­sche of pri­va­cy team.

Na deze exer­ci­tie is er een aan­tal for­ma­li­tei­ten om in acht te nemen, waar­van een aan­tal hier­on­der is uit­ge­werkt.

Kie­zen van de juis­te modu­le
Bij het slui­ten van nieu­we SCC met de par­tij die de per­soons­ge­ge­vens ont­vangt moet geko­zen wor­den uit één van de vier modu­les van de SCC, te weten:

• Modu­le 1: door­gif­te van ver­wer­kings­ver­ant­woor­de­lij­ke naar ver­wer­kings­ver­ant­woor­de­lij­ke;
• Modu­le 2: door­gif­te van ver­wer­kings­ver­ant­woor­de­lij­ke naar ver­wer­ker;
• Modu­le 3: door­gif­te van ver­wer­ker naar ver­wer­ker; en
• Modu­le 4: door­gif­te van ver­wer­ker naar ver­wer­kings­ver­ant­woor­de­lij­ke.

De toe­pas­se­lij­ke modu­le hangt af van de pri­va­cy­rech­te­lij­ke kwa­li­fi­ca­tie van par­tij­en. Het vast­stel­len daar­van kan vrij com­plex zijn en ver­eist een beoor­de­ling van de fei­te­lij­ke situ­a­tie.

• Ver­wer­kings­ver­ant­woor­de­lij­ke: Dit is, kort­ge­zegd, de par­tij die het doel en mid­de­len van de ver­wer­king vast­stelt. Belang­rijk­ste is om vast te stel­len wel­ke par­tij bepaalt waar­om, hoe­lang en van wel­ke per­so­nen de per­soons­ge­ge­vens wor­den ver­werkt, wel­ke gege­vens dit zijn, en hoe de ver­wer­king dient plaats te vin­den. Hier­bij kan wor­den gedacht aan bij­voor­beeld een orga­ni­sa­tie die van de eigen werk­ne­mers, per­so­neels­dos­siers bij­houdt of een orga­ni­sa­tie die besluit om per­soons­ge­ge­vens op te laten slaan in een exter­ne cloudom­ge­ving.
• Ver­wer­ker: De par­tij die op instruc­tie van de ander per­soons­ge­ge­vens ver­werkt en dit niet voor eigen doel­ein­den doet, kwa­li­fi­ceert als ver­wer­ker. Dit is bij­voor­beeld vaak de aan­bie­der van een cloud­dienst, die voor zijn klan­ten gege­vens opslaat en beschik­baar maakt.

Ove­ri­ge for­ma­li­tei­ten
De SCC zijn stan­daard­over­een­kom­sten die in begin­sel niet kun­nen wor­den aan­ge­past. Er is ech­ter een (beperkt) aan­tal clau­su­les waar­bij par­tij­en een keu­ze moe­ten maken. Zo moe­ten ze bij­voor­beeld bepa­len of zede doc­king clau­su­le opne­men in de SCC. Hier­mee kun­nen in de toe­komst gemak­ke­lijk ande­re par­tij­en, zoals doch­ter­on­der­ne­min­gen, con­tract­s­par­tij wor­den bij de SCC – bij­voor­beeld als ook die doch­ter­on­der­ne­ming dezelf­de per­soons­ge­ge­vens gaat door­ge­ven. Ook die­nen par­tij­en keu­zes te maken over de bevoeg­de toe­zicht­hou­der en tijds­lij­nen om elkaar te infor­me­ren bij bij­voor­beeld een data­lek.

Ver­wer­ken van input Data Trans­fer Impact Assess­ment (“DTIA”)
De belang­rijk­ste wij­zi­ging ziet ech­ter op het in kaart bren­gen en moni­to­ren van wet- en regel­ge­ving  Par­tij­en moe­ten name­lijk garan­de­ren dat de wet­ge­ving en prak­tijk van het land van de orga­ni­sa­tie met wie de per­soons­ge­ge­vens wor­den gedeeld geen afbreuk doen aan de ver­plich­tin­gen zoals vast­ge­legd in de SCC. Zoals in de vori­ge blog aan­ge­ge­ven, doen par­tij­en dit door de (sur­veil­lan­ce- en privacy)wetgeving in kaart te bren­gen van het land waar de gege­vens naar wor­den door­ge­ge­ven. Zij die­nen te beoor­de­len wel­ke risico’s hier­uit voort­vloei­en, onder ande­re in het kader van de moge­lijk­heid die over­heids­in­stan­ties heb­ben tot toe­gang tot de gege­vens te ver­krij­gen (sur­veil­lan­ce wet­ge­ving). Deze risico’s die­nen te wor­den gemi­ti­geerd met tech­ni­sche, orga­ni­sa­to­ri­sche en con­trac­tu­e­le maat­re­ge­len. Bij deze beoor­de­ling die­nen de spe­ci­fie­ke omstan­dig­he­den van de door­gif­te in acht te wor­den geno­men – waar­on­der het aan­tal door­gif­ten per ver­wer­king, de betrok­ken par­tij­en, typen per­soons­ge­ge­vens en doel­ein­den van de ver­wer­king.

Een aan­tal par­tij­en die dit niet zorg­vul­dig heeft gedaan, heeft van (EU) toe­zicht­hou­ders al een bevel ont­van­gen om per direct de door­gif­te te sta­ken. Het is te ver­wach­ten dat de Neder­land­se Auto­ri­teit Per­soons­ge­ge­vens, zeker na ver­strij­ken van de dead­line van 27 decem­ber aan­staan­de, de juis­te imple­men­ta­tie van de SCC zal gaan zal gaan hand­ha­ven, waar­bij de uit­ge­voer­de DTIA van groot belang is.

Wilt u meer weten? Klik dan hier om naar onze Schrems II pagi­na te gaan.