Opgelet: per 27 september 2021 zijn de oude versies van de standaard contractbepalingen voor de export van persoonsgegevens niet meer geldig voor nieuwe relaties. Vanaf dan mogen alleen de nieuwe Standard Contractual Clauses, kortweg SCC's, worden gebruikt als waarborg voor nieuwe doorgiften van persoonsgegevens buiten de Europese Economische Ruimte (EER). Een belangrijke verandering voor organisaties die veel met zulke doorgiftes te maken hebben. Partijen die bijvoorbeeld (een verwijzing naar) de oude SCC's in hun standaard verwerkersovereenkomst hadden staan, dienen die per direct aan te passen. Gebeurt dat niet, dan is er bij nieuwe klanten of leveranciers geen geldige waarborg voor de doorgifte aanwezig, en is deze in strijd met de Algemene Verordening Gegevensbescherming (AVG).
Wat zijn de SCC's ook alweer?
De Standard Contractual Clauses, ook wel model clauses of – op z’n Hollands – standaard contractbepalingen genoemd, zijn één van de wettelijke waarborgen die de doorgifte van persoonsgegevens buiten de EER mogelijk maken. De AVG stelt strenge eisen aan de verwerking van persoonsgegevens buiten de EER, omdat daar vaak zwakkere of geen privacywetgeving van toepassing is. Wettelijke waarborgen moeten dan zorgen voor een gelijkwaardige bescherming van persoonsgegevens als de AVG biedt. Naast de SCC's zijn zulke waarborgen bijvoorbeeld het adequaat verklaren van de privacywetgeving in bepaalde landen, en zogenaamde 'binding corporate rules' voor internationaal opererende concerns.
Waar de laatstgenoemde voorbeelden alleen in specifieke gevallen bescherming bieden, en dus niet voor elke doorgifte kunnen worden gebruikt, zijn de SCC's algemeen inzetbaar. Op papier kan elke doorgifte van persoonsgegevens naar buiten de EER met de SCC's worden voorzien van voldoende bescherming. Door het wegvallen van het Privacy Shield in 2020, is het belang van de SCC's nog groter. Voor de meeste alledaagse verwerkingen van persoonsgegevens in de VS zijn de SCC's nu de enige mogelijke waarborg.
Wat is er nieuw aan de huidige versie?
De oude versies van de SCC's stamden uit 2001, 2004 en 2010 en waren dus dringend toe aan een update. Ze waren opgesteld tegen de achtergrond van de oude Richtlijn 95/46/EG (de Databeschermingsrichtlijn), en sloten onvoldoende aan op de AVG. De nieuwe SCC's vormen bijvoorbeeld een integrale verwerkersovereenkomst, waarin alle eisen van artikel 28 (3) AVG verwerkt zijn. In de praktijk zullen ze nog steeds vaak worden ingezet als onderdeel van een andere verwerkersovereenkomst, die meer maatwerk biedt, maar dat hoeft dus niet meer. De nieuwe SCC's zijn bovendien modulair opgebouwd, om te kunnen worden gebruikt bij elke combinatie van doorgifte (bijvoorbeeld van verwerkingsverantwoordelijke naar verwerker en van verwerker naar (sub)verwerker).
Op 4 juni 2021 zijn deze nieuwe SCC’s aangenomen door de Europese Commissie en gepubliceerd. Met ingang van 27 september 2021 zijn alleen de nieuwe SCC’s rechtsgeldig voor nieuwe doorgiftes. Voor bestaande doorgiftes die onder de oude SCC’s zijn gesloten, geldt dat uiterlijk per 27 december 2022 de nieuwe van toepassing dienen te zijn.
Is dit de definitieve oplossing voor doorgifte?
Sinds het Europees Hof van Justitie het Privacy Shield ongeldig verklaarde, bestaat er veel onduidelijkheid over de rechtmatigheid van doorgifte van persoonsgegevens naar onveilige landen. Voorlopig is de stand van zaken dat een wettelijke waarborg, zoals de SCC's, in combinatie met aanvullende maatregelen, dé manier is voor een rechtmatige doorgifte.
Ondertussen lopen de onderhandelingen over een nieuw mechanisme wat doorgifte naar de VS mogelijk moet maken. De signalen over die onderhandeling zijn tot nu toe nog weinig hoopgevend. De politieke belangen zijn nu eenmaal groot en de VS heeft zich de laatste jaren niet erg inschikkelijk getoond op het wereldpodium. De economische belangen van een soepele uitwisseling van persoonsgegevens zijn echter ook groot: voor tech-reuzen als Facebook, Google, Microsoft en Amazon is de EU een enorm belangrijke markt, net als zij voor veel Europese bedrijven en consumenten (nog) onmisbaar zijn. Het blijft afwachten op welke termijn er zicht komt op nieuwe afspraken, en natuurlijk is dan weer de vraag hoe bestendig deze afspraken blijken te zijn.
