Europese Commissie stemt in met nieuw modelcontract

EU-vlaggen wapperen bij het hoofdkantoor van de Europese Commissie

De Europese Commissie heeft een nieuw modelcontract goedgekeurd waarmee bedrijven die in Europa actief zijn persoonsgegevens mogen doorsturen naar landen buiten de EU. Bedrijven die nu al een modelcontract als doorgifte-instrument gebruiken, hebben anderhalf jaar de tijd om de afspraken in het contract in overeenstemming te brengen met het nieuwe modelcontract. De belangrijkste voorwaarde is dat het beschermingsniveau van overzeese landen gelijkwaardig is aan dat van de EU.

Dat schrijft de Autoriteit Persoonsgegevens in een persbericht.

Europees Hof van Justitie zet streep door Privacy Shield

Om persoonsgegevens en andere data tussen de EU en landen daarbuiten uit te wisselen, zijn er in het verleden allerlei uitwisselingsverdragen geweest. Allereerst was er het Safe Harbor akkoord. In 2015 oordeelde het Europees Hof van Justitie echter dat dit verdrag te weinig garanties bood voor Europeanen om hun privacy en data te waarborgen.

De opvolger van het Safe Harbor akkoord was het Privacy Shield, dat tot stand kwam na een jaar onderhandelen tussen Europese beleidsmakers. De Oostenrijkse privacyactivist Max Schrems was van mening dat dit akkoord nog steeds niet deugde en burgers te weinig middelen bood om hun privacy te beschermen. Het Hof was het hier mee eens en zette in juli 2020 een streep door het Privacy Shield. Dit arrest is ook wel beter bekend onder de noemer Schrems II.

Kort gezegd oordeelde het Europees Hof dat het Privacy Shield het evenredigheidsbeginsel uit de Algemene Verordening Gegevensbescherming (AVG) onvoldoende nastreeft. Het land waarmee een Europees bedrijf persoonsgegevens van Europeanen wil uitwisselen, moet in dezelfde mate of beter persoonsgegevens beschermen. Daarnaast was het volgens de rechtbank voor Europeanen onmogelijk om invloed uit te oefenen op de wijze waarop persoonsgegevens worden verwerkt in de VS.

Het Hof bepaalde dat bedrijven Standard Contractual Clauses (SCC) of modelcontracten hanteren om afspraken te maken over gegevensuitwisseling. Uit een peiling van Noyb, de privacyvereniging van Schrems, onder 33 internationale bedrijven bleek dat de meeste tech- en databedrijven geen flauw idee hebben hoe ze aan het vonnis van de rechtbank kunnen voldoen. Wanneer het onmogelijk blijkt om een gelijkwaardig beschermingsniveau te behalen, adviseert de Autoriteit Persoonsgegevens om geen persoonsgegevens te delen en deze data binnen de EU te houden.

Nieuw modelcontract is flexibeler

De EU en VS onderhandelen al maanden over een opvolger van het Privacy Shield. Vanwege de complexiteit laat dat waarschijnlijk nog wel enige tijd op zich wachten. Ondertussen heeft de Europese Commissie een tijdelijke oplossing bedacht: een nieuw modelcontract. Volgens de Autoriteit Persoonsgegevens is deze flexibeler dan de oude modelcontracten en biedt hij meer garanties in verschillende situaties.

Bedrijven moeten nu in kaart brengen of zij in de huidige contracten de oude modelcontracten gebruiken. Als dat zo is moeten zij overstappen op het nieuwe modelcontract. Daarvoor krijgen zij achttien maanden de tijd.

Naast het nieuwe modelcontract heeft de Europese Commissie tevens een standaardverwerkersovereenkomst aangenomen. Volgens de toezichthouder helpt deze overeenkomst om afspraken over gegevensuitwisseling AVG-bestendig te maken met hun verwerkers (bedrijven als Google, Amazon en Facebook).

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen