Over­een­kom­sten inter­na­ti­o­na­le gege­vens­door­gif­ten die­nen vóór 27 decem­ber 2022 te zijn geac­tu­a­li­seerd

Blog

Published 10 november 2022 Reading time min Auteur Wout Olieslagers Digital, Cyber & Privacy | Financial services

Het over­gro­te deel van de orga­ni­sa­ties bin­nen de Euro­pe­se Unie betrekt bij het uit­voe­ren van kri­tie­ke bedrijfs­pro­ces­sen inter­na­ti­o­na­le dienstaan­bie­ders, zoals cloud­le­ve­ran­ciers. Hier­mee wor­den veel­al per­soons­ge­ge­vens door­ge­ge­ven naar lan­den bui­ten de Euro­pees Eco­no­mi­sche Ruim­te (“EER”). Het slui­ten van Standard Con­trac­tu­al Clau­ses (“SCC”) met de gege­ven­sim­por­teur bui­ten de EER is de afge­lo­pen jaren de meest gang­ba­re waar­borg geweest om deze door­gif­ten te legi­ti­me­ren in lijn met de AVG.

Voor de vele orga­ni­sa­ties die hier gebruik van heb­ben gemaakt staat een belang­rijk actie­punt op de agen­da: reeds geslo­ten SCC die­nen vóór 27 decem­ber aan­staan­de te wor­den ver­van­gen door nieu­we SCC die de Euro­pe­se Com­mis­sie heeft gepu­bli­ceerd, op straf­fe van sub­stan­ti­ë­le admi­ni­stra­tie­ve geld­boe­ten of even­tu­eel een bevel om een door­gif­te per direct te sta­ken. De nieu­we SCC ken­nen op zich­zelf ook addi­ti­o­ne­le ver­plich­tin­gen, waar­on­der het beoor­de­len van de sur­veil­lan­ce- en gege­vens­be­scher­mings­wet­ge­ving in het land waar de per­soons­ge­ge­vens naar wor­den door­ge­ge­ven (ook wel lan­den­as­sess­ments genoemd).

Hier­on­der volgt een bon­di­ge bespre­king van de maat­re­ge­len die moe­ten wor­den getrof­fen om aan de dead­line van 27 decem­ber 2022 te vol­doen en te voor­ko­men dat bedrijfs­kri­ti­sche pro­ces­sen moe­ten wor­den gestaakt.

Actu­a­li­se­ren SCC
Om te inven­ta­ri­se­ren wel­ke bedrijfs­pro­ces­sen even­tu­eel geraakt kun­nen wor­den, moet eerst geïn­ven­ta­ri­seerd wor­den met wel­ke con­tract­par­tij­en in het ver­le­den SCC zijn geslo­ten. Orga­ni­sa­ties heb­ben hier veel­al geen com­pleet en up-to-date over­zicht van, onder meer aan­ge­zien de SCC vaak als bij­la­ge bij een (ande­re) over­een­komst zijn opge­no­men.

Na inven­ta­ri­sa­tie van de SCC moet wor­den bepaal­de wel­ke van de vier modu­les van de nieu­we SCC moet wor­den geko­zen. Dit is afhan­ke­lijk van de pri­va­cy­rech­te­lij­ke kwa­li­fi­ca­tie van par­tij­en; die kun­nen ver­wer­kings­ver­ant­woor­de­lij­ke of ver­wer­ker zijn. Het maken van deze kwa­li­fi­ca­tie is door­gaans vrij com­plex maar tege­lij­ker­tijd essen­ti­eel, aan­ge­zien bij gebruik van een onjuis­te modu­le de door­gif­te niet is gele­gi­ti­meerd.

Ook moe­ten par­tij­en in de SCC afspre­ken wel­ke bevei­li­gings­maat­re­ge­len getrof­fen moe­ten wor­den om te zor­gen dat het bevei­li­gings­ni­veau in gro­te lij­nen over­een­komt met dat in de Euro­pe­se Unie. Dit vraagt veel­al een open dia­loog met de leve­ran­cier over de moge­lijk­heid om bepaal­de bevei­li­gings­maat­re­ge­len te imple­men­te­ren en het dra­gen van de kos­ten daar­van. De impact hier­van is met name afhan­ke­lijk van de (surveillance)wetgeving en prak­tijk in het der­de land, waar­over hier­on­der meer.

Lan­den­as­sess­ments
Bij een inter­na­ti­o­na­le door­gif­te van per­soons­ge­ge­vens is het, zoals kort aan­ge­ge­ven, ver­eist dat het bevei­li­gings­ni­veau in het der­de land in gro­te lij­nen over­een­komt met het bevei­li­gings­ni­veau in de EU. Uit­gangs­punt daar­bij is de (surveillance)wetgeving en prak­tij­ken in dat land. Als die pro­ble­ma­tisch zijn moe­ten par­tij­en rela­tief veel con­trac­tu­e­le, orga­ni­sa­to­ri­sche en tech­ni­sche bevei­li­gings­maat­re­ge­len nemen om als­nog een ade­quaat bevei­li­gings­ni­veau te garan­de­ren – als dat al moge­lijk is.

Uit­gangs­punt hier­voor is dus een over­zicht van (surveillance)wetgeving en prak­tij­ken van het der­de land. Orga­ni­sa­ties zijn vaak aan­ge­we­zen op exter­ne juri­di­sche dienst­ver­le­ners aan­ge­zien loka­le kennis van het recht in een land bui­ten de EER nodig is. Hier­bij is van belang om te komen tot een bon­dig, prag­ma­tisch over­zicht van de wet­ge­ving en prak­tij­ken, zeker waar de orga­ni­sa­tie afhan­ke­lijk is van door­gif­ten naar meer­de­re lan­den (wat vaak het geval is).

Ver­volgstap­pen
Gezien de dead­line van 27 decem­ber 2022 is het van belang om tij­dig inter­na­ti­o­na­le gege­vens­door­gif­ten te inven­ta­ri­se­ren en de beschre­ven stap­pen te nemen. Dit is – van­uit  bedrijfs­eco­no­misch oog­punt – in ieder geval sterk aan te raden voor kri­ti­sche bedrijfs­pro­ces­sen, om te voor­ko­men dat die kun­nen wor­den gestaakt bij een gebrek aan legi­ti­me­ring van de door­gif­te.

Wilt u meer weten? Klik dan hier om naar onze Schrems II pagi­na te gaan.