We hebben op deze blog en in een aantal webinars al uitgebreid aandacht besteed aan de nieuwe Standard Contract Clauses of SCC’s van de Europese Commissie. Na het wegvallen van het EU-US Privacy Shield ingevolge het Schrems II arrest van het Europees Hof van Justitie moeten deze SCC’s de juridische basis vormen voor de meeste vormen van data export buiten de EU. Die nieuwe SCC’s treden op 27 september in werking. Nieuwe data transfers buiten de EU moeten vanaf dan gebeuren op basis van aangepaste contracten met de nieuwe standaard contractclausules.
Nog heel even: data export en SCC’s?
Data export is élke uitwisseling van persoonsgegevens met een partner buiten de EU. Het kan gaan om een hosting provider bij wie je serverruimte huurt, een offshore call center of klantendienst, een developer of online marketing agency buiten Europa, een cloudopslagdienst , een e-mail service provider of zowat elke online service of tool die je je kan indenken. GDPR staat data export naar landen buiten de EU alleen toe als de ontvanger buiten de EU een gepast beschermingsniveau kan garanderen.
Een handvol landen wordt sowieso geacht een gepast niveau van bescherming te bieden, maar voor de meeste andere landen heb je (sinds het wegvallen van het EU-US Privacy Shield) een Data Export Agreement nodig, waarin die beschermingsgarantie zwart op wit gegeven wordt. Dat doe je door de door de Europese Commissie ter beschikking gestelde SCC’s op te nemen in je Data Export Agreement (of check op zijn minst of je non-EU partner deze SCC’s spontaan aanbiedt).
Nieuwe versies SCC’s
Een van de grote problemen bij het afsluiten van Data Export Agreements was echter dat die SCC’s of Standard Contract Clauses van de Europese Commissie verouderd waren. Ze dateerden nog van voor de inwerkingtreding van de GDPR wetgeving en waren niet aangepast aan die GDPR, noch aan de huidige technologische en economische werkelijkheid.
Die oude SCC’s zijn nu sinds 6 juni 2021 eindelijk vervangen door nieuwe, volledige up-to-date versies en Europese ondernemers kunnen nu aan de slag om met hun partners buiten de EU juridisch sluitende en veilige Data Export Agreements af te sluiten.
Op onze “toolspagina” vind je overigens ook downloadbare exemplaren van de nieuwe SCC’s, samen met onze Vendor Assessment Form die je kan gebruiken om in kaart te brengen of je buitenlandse partners al dan niet persoonsgegevens van jou ontvangen en of ze er correct en conform GDPR mee omgaan. Zo kan je snel, overzichtelijk en met een minimum aan moeite werken aan GDPR compliance binnen je bedrijf.
Deadline: 27 september 2021
Toen de nieuwe SCC’s van de Europese Commissie op 27 juni 2021 van kracht werden, werd voorzien in een overgangsperiode van drie maanden waarin de bedrijven de oude SCC’s nog konden blijven gebruiken. Die termijn verstrijkt op 27 september 2021. Vanaf dan moeten bij het afsluiten van nieuwe Data Export Agremeents verplicht de nieuwe SCC’s gebruikt worden.
Bestaande overeenkomsten kunnen voorlopig nog verdergezet worden op basis van de oude SCC’s. De deadline om ook alle lopende overeenkomsten aan te passen en de oude SCC’s te vervangen door de nieuwe verstrijkt op 27 december 2022.
Wacht niet tot het te laat is…
Aangezien de inhoud van de nieuwe SCC’s toch aanzienlijk veranderd is en er bijvoorbeeld heel wat bijkomende garanties en verplichtingen instaan, betekent dit dat je als bedrijf heel wat van die bestaande modelcontracten opnieuw zal moeten onderhandelen of dat je op zijn minst zeer aandachtig de nieuwe versies zal moeten nalezen voor je ze ondertekent. Onder andere door de noodzaak om een begeleidende impact assessment uit te voeren, zal het afsluiten van de nieuwe modelovereenkomsten geen louter administratief werkje zijn.
Sirius Legal helpt je daarbij. Je kan terecht op onze website voor onze “Data Export Compliance” service, waarmee we jouw bedrijf helpen doorheen het doolhof van oude en nieuwe SCC’s en “bijkomende passende maatregelen”.
- Zorg in elk geval voor een goed overzicht van al je data exports in een spreadsheet, controleer met wie je wel of geen lopende Data Export Agreement hebt en zorg voor een tijdige uitnodiging tot aanpassing als er al eentje afgesloten werd in het verleden of tot het afsluiten van een nieuwe Data Export Agreement als er eerder nog geen was afgesloten.
- Vergeet bij dit alles ook geen individuele impact assessment uit te voeren én deze goed te documenteren. Als er op een dag sprake is van een cyberaanval of hacking bij een van je toeleveranciers en het blijkt dat jij de regels niet volgde alvorens jouw data aan hem of haar toe te vertrouwen, dreig je immers al snel zélf aansprakelijk te zijn voor de gevolgen van zo’n datalek…
Weet bij dat alles ook dat data export voor heel wat overheden, ook voor onze Belgische Gegevensbeschermingsautoriteit, een aandachtspunt is. Controles zullen in de eerste plaats gericht zijn op het gebruik van e-mail service providers, hostingbedrijven, tracking via cookies, applicatiebeheer en uitwisseling van klantengegevens binnen groepen van bedrijven, bijvoorbeeld op basis van Customer Data Platformen.
Vragen over data export of GDPR in het algemeen? We maken graag tijd voor je. Bel of mail gerust met Bart Van den Brande op bart@siriuslegal.be of +32 492 249 516 of boek hier meteen een vrijblijvend online kennismakingsgesprek in met Bart.
Hulp nodig met de compliance van je data export?
Bart
Van den Brande
Ik ben de oprichter en Managing Partner van Sirius Legal. In 2010 besloot ik de Brusselse advocatenwereld achter me te laten om op een and...