CRANIUM waarschuwt voor nieuwe SCC’s onder GDPR: bereid je voor en vermijd boetes

Brussel, 30 november 2022 - CRANIUM, de Belgische specialist die organisaties bijstaat in alle vraagstukken over privacy, security en data management, waarschuwt bedrijven en organisaties met betrekking tot de nieuwe Standard Contractual Clauses (SCC’s) of standaardcontract- bepalingen voor gegevensoverdrachten tussen landen die GDPR-conform zijn en landen die dat niet zijn. De overgangsperiode voor het implementeren van die nieuwe modelcontractbepalingen, die in juni 2021 door de Europese Commissie vastgelegd werden, verloopt op 27 december.

Werk je met collega’s samen via Teams, bevindt de helpdesk van je bedrijf zich in Azië, of maakt je organisatie gebruik van een Amerikaanse provider zoals Mailchimp, Hubspot, Microsoft, Google, Slack of Jira (Atlassian)? Gebruik je Google Analytics op je website, of is je cloudprovider buiten de Europese Economische Ruimte gevestigd? Als het antwoord op een van deze vragen ja is, dan is er sprake van internationale gegevensoverdrachten - en daar moeten per 27 december nieuwe standaardcontractbepalingen voor gebruikt worden, zo bepaalde de Europese Commissie.

Wat zijn internationale gegevensoverdrachten?

Een overdracht van persoonsgegevens binnen de Europese Economische Ruimte (EER) dient sinds 2018 volgens de GDPR-regels te verlopen. Bijkomende maatregelen zijn dan niet nodig. Hetzelfde geldt voor een lijst landen die volgens de Europese Commissie een passend beschermingsniveau bieden, dat adequaat is voor de GDPR. Deze lijst omvat Andorra, Argentinië, Canada (commerciële organisatie), de Faeröereilanden, Guernsey, Israël, het eiland Man, Japan, Jersey, Nieuw-Zeeland, Zuid-Korea, Zwitserland, het Verenigd Koninkrijk (onder de GDPR en de LED) en Uruguay.

Gebeurt de verwerking (deels) buiten de EER of die GDPR-conforme landen, zoals vaak het geval is bij een helpdesk, support, debugging team, callcenter, probleemescalatie enzovoort, dan wordt ze beschouwd als een internationale gegevensoverdracht. Bijkomende maatregelen zijn dan nodig. 

Het meest gebruikte mechanisme daarvoor is de integratie van Standard Contractual Clauses (SCC's) of standaardcontractbepalingen in contracten: die schrijven voor welke maatregelen zowel de gegevensexporteur als -importeur dienen te nemen om een passend beschermingsniveau te bieden. Om conform te zijn met de GDPR, werden die bepalingen vorig jaar gewijzigd.

“Vandaag zijn er maar weinig organisaties die al hun persoonsgegevens in hetzelfde land verwerken als waar ze gevestigd zijn. En zelfs als ze dat doen, dan is de kans groot dat een van hun verwerkers dat niet doet, en dat er dus ook gegevensoverdrachten zijn naar landen die niet GDPR-conform zijn. Veel van onze bedrijven en organisaties is echter niet op de hoogte dat de standaardcontractbepalingen of SCC’s, die doorgaans gebruikt worden voor die overdrachten, vorig jaar aangepast werden door de Europese Commissie, en zullen dus niet in regel zijn als de overgangsperiode op 27 december verloopt”, stelt Audrey Malaise, privacy consultant bij CRANIUM.

Boetes vermijden

Om boetes te vermijden, dien je als onderneming of organisatie die gemoderniseerde clausules te implementeren voor alle gegevensoverdrachten tussen alle GDPR-plichtige en niet als GDPR-adequaat erkende landen.

Dit zijn de verschillende stappen die je daarvoor dient te ondernemen.

​STAP 1: Evalueer je internationale gegevensoverdrachten

De eerste stap is identificeren. Er is sprake van internationale gegevensoverdracht wanneer:

Waar een van deze zaken van toepassing is, ben je verplicht ervoor te zorgen dat de juiste maatregelen worden genomen om aan de voorschriften te blijven voldoen. 

​STAP 2: Update je contracten

Contacteer al je providers, gelieerde ondernemingen en/of klanten buiten de EER of GDPR-conforme landen om overeenkomsten te updaten met de gemoderniseerde clausules.

​STAP 3: Voer een overdrachtseffectbeoordeling of TIA uit 

Het opnemen van de nieuwe SCC's in je contracten is niet voldoende om aan de GDPR te voldoen: overdrachtseffectanal of transfer impact assessments (TIA's) zijn nodig voor alle verwerkingsactiviteiten die buiten de EER plaatsvinden. Deze beoordelingen zijn bedoeld om het beschermingsniveau van de overdracht te evalueren en te bepalen of het gebruik van een overdrachtsmechanisme (met name SCC's) voldoende is. 

Better safe than sorry

“Neem je geen gepaste maatregelen, dan kan dat net als bij alle andere inbreuken leiden tot een onderzoek van de toezichthoudende autoriteit, met mogelijk hoog oplopende boetes tot gevolg - denk maar aan de boete van 400 miljoen die Instagram eerder dit jaar kreeg in Ierland. Een ander potentieel risico heeft betrekking op je reputatie en commerciële relaties. Privacy krijgt meer en meer aandacht in het publieke debat, en daar achteloos mee omspringen straalt negatief af op je organisatie. Ook daarom is het dus aangewezen je SCC’s te updaten”, besluit Audrey Malaise, privacy consultant bij CRANIUM.

^{Over CRANIUM}

^{De Belgische scale-up CRANIUM is een internationale consultancyorganisatie gespecialiseerd in privacy, security en data management. Het multidisciplinaire team helpt bedrijven hun (persoonlijke) data te beheren, beschermen en beveiligen tegen inbreuken en cyberaanvallen. Bovendien staan ze klanten bij in de naleving van diverse privacywetgevingen. Dankzij een breed gamma aan oplossingen en een holistische benadering van data dragen ze bij aan een (cyber)veiligere wereld en zetten ze in op het verbeteren van bedrijfsprestaties.}

^{De databeschermingsspecialist groeide sinds de oprichting in 2016 uit tot een team van meer dan 75 consultants met verschillende achtergronden, waaronder juristen en gespecialiseerde IT-profielen. Samen werkten ze aan ruim 1.500 projecten voor 750 nationale en internationale klanten vanuit kantoren in België, Nederland en Luxemburg.}

Paul Geens

PR consultant, Evoke

• [email protected]
• +32 472 59 70 74