De Europese Commissie is voortdurend bezig om de mogelijkheden voor beschermde uitwisseling van persoonsgegevens te verbeteren. Daarvoor heeft de Commissie twee hulpmiddelen aangenomen: de standaard verwerkersovereenkomst en een modelcontract voor de internationale uitwisseling van persoonsgegevens. Het doel van deze nieuwe modelcontracten is om juridische voorspelbaarheid te creëren waar betrokken partijen op kunnen vertrouwen.
Standaard verwerkersovereenkomst
De verwerkersovereenkomst is een handige manier om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG). In de verwerkersovereenkomst moet onder andere worden vastgelegd wat het doel, de aard en duur van een verwerking is. Hiermee wordt voorkomen dat de persoonsgegevens voor andere doeleinden zullen worden gebruikt dan waarvoor zij worden verstrekt.
De standaard verwerkersovereenkomst die door de Commissie is gepubliceerd voldoet aan alle vereisten van artikel 28 lid 3 en lid 4 AVG. Door deze standaardovereenkomst te gebruiken zullen betrokken partijen automatisch AVG-compliant zijn. In de standaard verwerkersovereenkomst is onder andere opgenomen dat partijen achteraf op een makkelijke manier kunnen toetreden tot de overeenkomst. Ook moeten de verwerking en de verwerkte persoonsgegevens in de bijlage worden gespecificeerd.
Decentrale overheden kunnen ook gebruik maken van de standaard verwerkersovereenkomst, bijvoorbeeld als zij een bedrijf inhuren om persoonsgegevens voor hen te verwerken. Denk hierbij aan het uitbesteden van de salarisadministratie. Het is dan, op grond van artikel 28 AVG, noodzakelijk om een overeenkomst op te stellen tussen de verwerkingsverantwoordelijke en de verwerker. Om na te gaan wanneer een verwerkersovereenkomst moet worden afgesloten, kunt u deze praktijkvraag raadplegen.
Nieuwe modelcontracten internationale doorgifte van persoonsgegevens
Hoe kan de AVG als een Europese verordening effect hebben op verwerkingen van persoonsgegevens buiten de Europese Unie (EU)? Dit komt doordat de AVG de verwerking van persoonsgegevens van Europese burgers beschermt, zelfs bij verwerkingen die buiten de EU plaatsvinden, zogenoemde gegevensuitwisseling met derde landen. Een kenmerk van data en een gedigitaliseerde samenleving is namelijk dat gegevensstromen niet zomaar ophouden bij de grenzen van de EU. De Commissie heeft nu dit modelcontract gepubliceerd, om de veilige internationale doorgifte van persoonsgegevens te verzekeren. Dit modelcontract regelt de aansprakelijkheden van partijen en verzekert dat de waarborgen uit de AVG en Schrems II gelden.
Het nieuwe modelcontract bestaat uit vier modules:
- Doorgifte van gegevens van verantwoordelijke naar verantwoordelijke;
- Doorgifte van gegevens van verantwoordelijke naar verwerker;
- Doorgifte van gegevens van (sub)verwerker naar (sub)verwerker;
- Doorgifte van gegevens van (sub)verwerker naar verantwoordelijke.
Daarnaast bevat het modelcontract een ‘toolbox’ waarmee het makkelijker wordt om te voldoen aan de vereisten uit Schrems II. Denk hierbij aan een stappenplan waarmee organisaties kunnen voldoen aan Schrems II en voorbeelden van aanvullende maatregelen om de doorgifte van persoonsgegevens een hoger niveau van bescherming te bieden. Decentrale overheden hebben 18 maanden de tijd om over te stappen naar dit nieuwe contract.
Bron
Europese Commissie publiceert nieuwe instrumenten voor veilige uitwisseling van persoonsgegevens, Europese Commissie
Meer informatie
Algemene Verordening Gegevensbescherming, Kenniscentrum Europa Decentraal
Met welke partijen moet een gemeente die deelneemt in een gemeenschappelijke regeling een verwerkersovereenkomst sluiten?, Kenniscentrum Europa Decentraal
Wanneer moet er een verwerkersovereenkomst afgesloten worden?, Kenniscentrum Europa Decentraal
Vernieuwing modelcontracten voor doorgifte van gegevens aan derde landen, Kenniscentrum Europa Decentraal
