De EU-Commissie heeft nieuwe standaardcontractbepalingen (Standard Contractual Clauses, SCC´s) voor internationale datatransfer goedgekeurd en gepubliceerd.
Uiterlijk op 27 december 2022 moeten alle bestaande contracten voor datatransfer naar derde landen zijn omgezet naar de nieuwe SCC´s. Let op: sinds het arrest Schrems II van het Hof van Justitie van de Europese Unie op 16 juli 2020 gelden ook de Verenigde Staten als derde land.
Niet alleen het gebruik van de actuele versie van de SCC´s is verplicht bij een gegevensoverdracht aan derde landen, maar ook het (laten) uitvoeren van een Transfer Impact Assessment (TIA). Hiermee toets je de risico´s en aanvullende passende maatregelen (naast SCC´s) voor een veilige datatransfer. Contractuele afspraken zijn namelijk niet meer voldoende. Uit de risicoanalyse moet volgen waarom je bedrijf of organisatie gebruik maakt van een samenwerkingspartner in een derde land en hoe precies de privacy van de betrokkenen wordt gewaarborgd.
Heb je onder de actuele algemene voorwaarden van bijvoorbeeld AWS, Azure of Google Cloud Service gecontracteerd? Dan hoef je – behalve een TIA – eventueel niets doen. Deze diensten hebben hun SCC´s namelijk al omgezet. Inventariseer of deze situatie op jullie organisatie van toepassing is of laat je daarbij ondersteunen.
3 To Do’s
- Inventariseer met welke partij SCC’s zijn afgesloten of moeten worden afgesloten.
- Ga met deze samenwerkingspartners in gesprek, opdat de SCC’s vóór 27 december 2022 gezamenlijk worden omgezet naar de nieuwe SCC’s.
- Voer TIA’s uit of actualiseer de reeds uitgevoerde TIA’s.