EC publiceert standaard verwerkersovereenkomst en modelcontracten internationale uitwisseling persoonsgegevens

De Europese Commissie heeft vandaag twee modelcontracten gepubliceerd: een standaard verwerkersovereenkomst en nieuwe modelcontracten voor de uitwisseling van persoonsgegevens.

Standaard verwerkersovereenkomst

De Europese Commissie heeft een verwerkersovereenkomst gepubliceerd waarmee aan de vereisten van artikel 28 lid 3 en lid 4 wordt voldaan. Anders gezegd: wie dit model hanteert zit per definitie goed.

Bij eerste lezing vallen een paar zaken op:

• partijen kunnen eenvoudig later toetreden tot de overeenkomst;
• er wordt verlangd dat de verwerkingen en de daarbij verwerkte persoonsgegevens worden gespecificeerd in de bijlage (veel leveranciersmodellen voldoen hier niet aan);
• de beveiligingsmaatregelen moeten in de bijlage worden gespecificeerd (dus de verantwoordelijke bepaalt kennelijk), maar zodra er bijzondere persoonsgegevens worden verwerkt is het aan de verwerker om dan aanvullende maatregelen te treffen (en welke dan?);
• er is ruimte voor redelijke flexibele inschakeling van subverwerkers en daarmee hoeven niet exact dezelfde, maar wel vergelijkbare afspraken te worden gemaakt;
• er wordt niets geregeld over (aanvullende) kosten;
• er wordt niets geregeld over aansprakelijkheid (dus kennelijk geldt hier 'gewoon' de hoofdovereenkomst).

Al met al verwacht ik vooral dat het bestaan van deze standaard in onderhandelingen wel eens een grote rol kan gaan spelen. Direct gebruik van het nieuwe model valt nog te bezien, daarvoor denk ik dat de belangen van partijen nog wat te ver uit elkaar liggen.

Nieuwe modelcontracten internationale doorgifte

Daarnaast publiceert de EC nieuwe modelcontracten voor internationale doorgifte. Deze nieuwe contracten zijn veel flexibeler dan de oude.

De nieuwe contracten bestaan, naast een generiek deel, in feite uit vier modules:

1. doorgifte van verantwoordelijke naar verantwoordelijke;
2. doorgifte van verantwoordelijke naar verwerker;
3. doorgifte van (sub)verwerker naar (sub)verwerker;
4. doorgifte van (sub)verwerker naar verantwoordelijke.

Met deze vier modules worden alle denkbare situaties van internationale doorgifte wel afgedekt. Er is hierdoor een veel minder grote noodzaak om met eigen variaties op bestaande modelcontracten aan de slag te gaan.

Verder sluiten de nieuwe contracten veel beter aan bij de AVG en de nieuwe verplichtingen die in de AVG staan (ten opzichte van de vorige wetgeving). Denk aan verplichtingen ter zake de documentatieplicht, aangescherpte verplichtingen inzake audits en controle, aangescherpte bepalingen inzake de rechten van betrokkene, aangescherpte bepalingen over de rol van de toezichthouder, etc.

Tegelijkertijd zit er ook wat meer flexibiliteit in, zoals de ruimte om zelf een rechts- en forumkeuze te maken (waar dit voorheen aan het exporterende land werd opgehangen).

Partijen hebben 18 maanden om over te stappen van oude naar nieuwe modelcontracten.

Let wel: modelcontracten zijn zeker niet altijd zaligmakend. Er zal altijd moeten worden getoetst in hoeverre het land van bestemming voldoet aan de eisen die worden gesteld in het Schrems II arrest.

Vragen, opmerkingen?

Heeft u vragen over verwerkersovereenkomsten of modelcontracten (standard contractual clauses) voor doorgifte van persoonsgegevens? Of andere vragen over privacyrecht? Neem gerust contact op.