Geeft jouw bedrijf persoonsgegevens door naar een land buiten de Europese Economische Ruimte (EER)? Ik bedoel daarmee alle EU-landen, plus Liechtenstein, Noorwegen en IJsland. Gebruik je hiervoor nu een modelcontract van de Europese Commissie? Let dan op: je moet overstappen op een nieuw modelcontract of jouw huidige contract in lijn brengen met het nieuwe modelcontract en je hebt hier tot 27 december 2022 de tijd voor.
Dit betreft dus enkel de situatie op het moment dat jouw bedrijf persoonsgegevens doorgeeft van Nederland naar een derde land, buiten de EER. Je mag dan immers deze persoonsgegevens alleen doorgeven naar dat derde land mits deze een passend beschermingsniveau heeft. Binnen de EU is het niveau van gegevensbescherming wel gelijk. Dat komt omdat alle EU lidstaten zich moeten houden aan de Algemene verordening gegevensbescherming (AVG).
Dit nieuwe modelcontract van de Europese Commissie voor doorgifte van persoonsgegevens buiten de EER ziet toe op 4 situaties (modules) waarmee vrijwel alle doorgiften worden gedekt:
- 1: doorgifte tussen twee verwerkingsverantwoordelijken.
- 2: doorgifte tussen een verwerkingsverantwoordelijke en een verwerker.
- 3: doorgifte tussen twee (sub)verwerkers.
- 4: doorgifte tussen een (sub)verwerker en een verwerkingsverantwoordelijke.
Het nieuwe modelcontract is daarnaast ook meer in lijn met de AVG en er is rekening gehouden met een belangrijke uitspraak van het Europees Hof van Justitie (het Schrems II-arrest). In dit arrest verklaarde het Hof eerder het EU-VS privacy shield ongeldig omdat de Amerikaanse overheid persoonsgegevens onvoldoende beschermt. In diezelfde uitspraak gaf het Hof aan dat modelcontracten wél een geldige grondslag kunnen bieden voor een veilige internationale gegevensdoorgifte. Maar dan moet in de praktijk wel een gelijkwaardig beschermingsniveau als binnen de EU kan worden gewaarborgd. In het nieuwe modelcontract van de Europese Commissie is daarom een stappenplan en een overzicht van maatregelen opgenomen die organisaties kunnen gebruiken om dat beschermingsniveau te waarborgen.
Al met al, mooi nieuws dus! Wacht dan ook niet langer en check voor dit nieuwe modelcontract het UITVOERINGSBESLUIT (EU) 2021/914 VAN DE COMMISSIE van 4 juni 2021 (zie de bijlagen).
Tip: Als jouw bedrijf persoonsgegevens doorgeeft naar een land of organisatie buiten de EER, check dan dit nieuwe modelcontract. Zorg ervoor dat je, je oude contract van de Europese Commissie hierop aanpast of dat je volledig overstapt op dit nieuwe model. Wil je dat een jurist met je meekijkt? Stuur me dan gerust een bericht via gwenny@ge-mek.nl of via tel.nr. 0622037358.