CRANIUM, de Belgische specialist die organisaties bijstaat in alle vraagstukken over privacy, security en data management, waarschuwt bedrijven en organisaties met betrekking tot de nieuwe Standard Contractual Clauses (SCC’s) of standaardcontract- bepalingen voor gegevensoverdrachten tussen landen die GDPR-conform zijn en landen die dat niet zijn. De overgangsperiode voor het implementeren van die nieuwe modelcontractbepalingen, die in juni 2021 door de Europese Commissie vastgelegd werden, verloopt op 27 december.
Werk je met collega’s samen via Teams, bevindt de helpdesk van je bedrijf zich in Azië, of maakt je organisatie gebruik van een Amerikaanse provider zoals Mailchimp, Hubspot, Microsoft, Google, Slack of Jira (Atlassian)? Gebruik je Google Analytics op je website, of is je cloudprovider buiten de Europese Economische Ruimte gevestigd? Als het antwoord op een van deze vragen ja is, dan is er sprake van internationale gegevensoverdrachten – en daar moeten per 27 december nieuwe standaardcontractbepalingen voor gebruikt worden, zo bepaalde de Europese Commissie.
Wat zijn internationale gegevensoverdrachten?
Een overdracht van persoonsgegevens binnen de Europese Economische Ruimte (EER) dient sinds 2018 volgens de GDPR-regels te verlopen. Bijkomende maatregelen zijn dan niet nodig. Hetzelfde geldt voor een lijst landen die volgens de Europese Commissie een passend beschermingsniveau bieden, dat adequaat is voor de GDPR. Deze lijst omvat Andorra, Argentinië, Canada (commerciële organisatie), de Faeröereilanden, Guernsey, Israël, het eiland Man, Japan, Jersey, Nieuw-Zeeland, Zuid-Korea, Zwitserland, het Verenigd Koninkrijk (onder de GDPR en de LED) en Uruguay.
Gebeurt de verwerking (deels) buiten de EER of die GDPR-conforme landen, zoals vaak het geval is bij een helpdesk, support, debugging team, callcenter, probleemescalatie enzovoort, dan wordt ze beschouwd als een internationale gegevensoverdracht. Bijkomende maatregelen zijn dan nodig.
Het meest gebruikte mechanisme daarvoor is de integratie van Standard Contractual Clauses (SCC’s) of standaardcontractbepalingen in contracten: die schrijven voor welke maatregelen zowel de gegevensexporteur als -importeur dienen te nemen om een passend beschermingsniveau te bieden. Om conform te zijn met de GDPR, werden die bepalingen vorig jaar gewijzigd.
“Vandaag zijn er maar weinig organisaties die al hun persoonsgegevens in hetzelfde land verwerken als waar ze gevestigd zijn. En zelfs als ze dat doen, dan is de kans groot dat een van hun verwerkers dat niet doet, en dat er dus ook gegevensoverdrachten zijn naar landen die niet GDPR-conform zijn. Veel van onze bedrijven en organisaties is echter niet op de hoogte dat de standaardcontractbepalingen of SCC’s, die doorgaans gebruikt worden voor die overdrachten, vorig jaar aangepast werden door de Europese Commissie, en zullen dus niet in regel zijn als de overgangsperiode op 27 december verloopt”, stelt Audrey Malaise, privacy consultant bij CRANIUM.
Boetes vermijden
Om boetes te vermijden, dien je als onderneming of organisatie die gemoderniseerde clausules te implementeren voor alle gegevensoverdrachten tussen alle GDPR-plichtige en niet als GDPR-adequaat erkende landen.
Dit zijn de verschillende stappen die je daarvoor dient te ondernemen.
STAP 1: Evalueer je internationale gegevensoverdrachten
De eerste stap is identificeren. Er is sprake van internationale gegevensoverdracht wanneer:
- Je aanbieders toegang hebben tot persoonsgegevens van buiten de EER;
- Je buitenlandse (buiten de EER gevestigde) filialen hebt die toegang hebben tot persoonsgegevens;
- Je persoonsgegevens verstuurt naar of ontvangt van klanten buiten de EER (…);
- De aanbieder, gelieerde buitenlandse onderneming en/of klant in een land buiten de EER gevestigd is dat geen passend beschermingsniveau biedt.
Waar een van deze zaken van toepassing is, ben je verplicht ervoor te zorgen dat de juiste maatregelen worden genomen om aan de voorschriften te blijven voldoen.
STAP 2: Update je contracten
Contacteer al je providers, gelieerde ondernemingen en/of klanten buiten de EER of GDPR-conforme landen om overeenkomsten te updaten met de gemoderniseerde clausules.
STAP 3: Voer een overdrachtseffectbeoordeling of TIA uit
Het opnemen van de nieuwe SCC’s in je contracten is niet voldoende om aan de GDPR te voldoen: overdrachtseffectanal of transfer impact assessments (TIA’s) zijn nodig voor alle verwerkingsactiviteiten die buiten de EER plaatsvinden. Deze beoordelingen zijn bedoeld om het beschermingsniveau van de overdracht te evalueren en te bepalen of het gebruik van een overdrachtsmechanisme (met name SCC’s) voldoende is.
Better safe than sorry
“Neem je geen gepaste maatregelen, dan kan dat net als bij alle andere inbreuken leiden tot een onderzoek van de toezichthoudende autoriteit, met mogelijk hoog oplopende boetes tot gevolg – denk maar aan de boete van 400 miljoen die Instagram eerder dit jaar kreeg in Ierland. Een ander potentieel risico heeft betrekking op je reputatie en commerciële relaties. Privacy krijgt meer en meer aandacht in het publieke debat, en daar achteloos mee omspringen straalt negatief af op je organisatie. Ook daarom is het dus aangewezen je SCC’s te updaten”, besluit Audrey Malaise, privacy consultant bij CRANIUM.