DOSSIERS
Alle dossiers
Gepubliceerd op maandag 14 oktober 2024
IT 4634

Nieuwe standaardcontractbepalingen voor gegevensoverdrachten

De Europese Commissie (EC) werkt aan de invoering van nieuwe standaardcontractbepalingen (SCC's) voor gegevensoverdrachten tussen partijen die beide onder de Algemene Verordening Gegevensbescherming (GDPR) vallen. Dit is vooral relevant voor bedrijven buiten de Europese Economische Ruimte (EER) die gegevens van binnen de EER verwerken. De publicatie van het ontwerp van deze SCC's wordt binnenkort verwacht, met goedkeuring gepland voor het tweede kwartaal van 2025. De GDPR is ook van toepassing op bedrijven buiten de EER die goederen of diensten aanbieden aan EER-burgers of hun gedrag monitoren binnen de EER. Dit heeft bijvoorbeeld gevolgen voor bedrijven in sectoren zoals telemedicine, cloudgebaseerde medische dossiers en klinisch onderzoek. Deze bedrijven moeten zorgvuldig omgaan met gegevensoverdrachten naar landen buiten de EU.

In 2021 maakte de EC duidelijk dat de bestaande SCC's niet geschikt waren voor overdrachten waarbij beide partijen onder de GDPR vallen. Dit zorgde voor verwarring, wat in de praktijk duidelijk werd met de recente boete van € 290 miljoen voor Uber door de Autoriteit Persoonsgegevens. Uber stelde dat SCC's niet vereist waren voor gegevensoverdrachten naar de VS omdat hun Amerikaanse entiteit al onder de GDPR viel. De Autoriteit Persoonsgegevens oordeelde echter anders en stelde dat SCC's nog steeds noodzakelijk waren om conflicten tussen de Amerikaanse en Europese wetgeving te vermijden. De nieuwe SCC's zullen deze onduidelijkheden verhelpen en bedrijven helpen om compliant te blijven zonder overbodige juridische verplichtingen. Bedrijven die momenteel oude SCC's gebruiken voor extraterritoriale gegevensoverdrachten, zullen hun contractbepalingen moeten herzien zodra de nieuwe SCC's van kracht zijn.

De EC opent binnenkort een openbare consultatie, waarbij bedrijven hun mening kunnen geven over deze wijzigingen. Met de invoering van de nieuwe SCC's in zicht, is het voor bedrijven essentieel om hun huidige gegevensoverdrachtsovereenkomsten te herzien en waar nodig te actualiseren om boetes en juridische complicaties te voorkomen.

Belangrijke data:
Consultatie: vierde kwartaal 2024
Invoering: tweede kwartaal 2025