Reinier adviseert nationale en internationale bedrijven
reinier.russell@russell.nl +31 20 301 55 55Lisanne is advocaat voor corporate litigation, AVG en contracten
lisanne.meijerhof@russell.nl +31 20 301 55 55Slaat uw bedrijf persoonsgegevens van EU-burgers op buiten de EU? Ook dan moet u voldoen aan de Europese privacyregels, de AVG. Ook als iemand anders voor u de gegevens verwerkt. Hoe regelt u dit?
Er zijn drie manieren waarop u bij de verwerking van persoonsgegevens buiten de EU kunt voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Dat zijn:
Een variant van optie 3 is het EU-VS Privacy Shield. De Verenigde Staten als geheel bieden onvoldoende bescherming. Bedrijven en organisaties in de VS kunnen zich echter laten certificeren als zij aan de voorwaarden van het Privacy Shield voldoen en dit registreren bij het Amerikaanse Ministerie van Handel. Europese bedrijven mogen gegevens van EU-burgers laten verwerken door deze geregistreerde bedrijven. Dit Privacy Shield is echter ongeldig verklaard, wat ook gevolgen had voor het gebruik van de modelbepalingen.
Om dit op te lossen, heeft de Europese Commissie twee maatregelen genomen. Als eerste zijn de modelbepalingen aangepast, zodat deze weer bruikbaar zijn. Daarnaast komen de EU en de VS met een aanvullende regeling voor het Privacy Shield, het Trans-Atlantic Data Privacy Framework.
Om u te helpen met het maken van afspraken met uw verwerker buiten de EU heeft de EU modelbepalingen opgesteld, die u daarvoor kunt gebruiken. Na het ongeldig verklaren van het Privacy Shield zijn deze modelbepalingen aangescherpt. De nieuwe bepalingen staan hier in het Nederlands en het Engels.
Let op: Als uw verwerker buiten de EU gegevens van EU-burgers laat verwerken door een andere verwerker buiten de EU, dan moet hun overeenkomst dezelfde bescherming bieden. Dus ook als beide partijen bij de verwerkingsovereenkomst buiten de EU gevestigd zijn, kan het nodig zijn om gebruik te maken van de standaardcontractbepalingen. Zorg dat uw verwerker dit weet!
Partijen zijn niet verplicht om de standaardbepalingen te gebruiken, maar zij zullen wel minstens dezelfde bescherming moeten vastleggen in de overeenkomst, als door de standaardbepalingen wordt gegarandeerd. Dat zal niet eenvoudig zijn.
De modelbepalingen zijn er voor verschillende typen overeenkomsten. Let op: de modelbepalingen zijn er in modules en in verschillende uitvoeringsbesluiten. Bovendien kunnen binnen de modelbepalingen nog verschillende opties gekozen worden. Goede juridische voorlichting hierover is dus van groot belang.
Papier is geduldig. De bepalingen op zich zeggen dus niet alles. Met name als in het land van de verwerker bindende wetgeving is die de standaardbepalingen doorkruist is er een probleem. Dan moet in feite worden afgesproken hoe de verwerker kan garanderen dat diens eigen overheid geen toegang krijgt tot de gegevens van EU-burgers, als de overheid daarvoor geen door de AVG toegestane grondslag heeft. Dit speelde bij de verwerking van persoonsgegevens in de Verenigde Staten. Daarom is het EU-US Privacy Shield ongeldig verklaard.
Dat heeft echter ook gevolgen voor het gebruik van de modelbepalingen. Bedrijven in de Verenigde Staten kunnen immers moeilijk garanties geven voor het gedrag van de Amerikaanse veiligheidsdiensten. Daarom werken de EU en de VS aan een nieuwe regeling: het Trans-Atlantic Data Privacy Framework. Wat zal hierin staan?
Volgens de verklaring van het Witte Huis verbinden de VS zich in deze regeling tot:
Hiermee zal volgens de EU wel voldaan worden aan de AVG. De komende tijd zullen deze doelstellingen worden uitgewerkt in juridische regelingen.
Het Trans-Atlantic Data Privacy Framework komt niet in plaats van het Privacy Shield, maar is een aanvulling daarop. Het systeem van het Privacy Shield blijft intact. Het Privacy Shield wordt echter alleen weer van belang als het TADP van kracht wordt. Tot die tijd kunt u in overeenkomsten met verwerkers in de VS gebruik maken van de nieuwe modelbepalingen. Gaat het om verwerking door een ander deel van uw organisatie, dan kunt u in plaats daarvan gebruik maken van bindende bedrijfsvoorschriften.
En ongetwijfeld zal ook de vraag of het TADP wel voldoet aan de AVG nog worden voorgelegd aan het Europese Hof.
Heeft u vragen over modelbepalingen of wilt u dat wij voor u bindende bedrijfsvoorschriften opstellen? Of heeft u andere vragen over privacy en verwerking van persoonsgegevens? Neem contact met ons op:
In het tweede kwartaal van 2022 zijn er weer een aantal veranderingen in wet- en regelgeving. In deze blog vindt u de belangrijkste wijzigingen voor ondernemers en werkgevers.
Vanaf 1 juni 2022 gelden nieuwe regels voor distributieovereenkomsten. Wat zijn de belangrijkste wijzigingen voor leveranciers en distributeurs?
Per 1 augustus 2022 gelden er nieuwe regels voor de verplichte scholing van werknemers. Welke maatregelen moeten werkgevers nemen om te voldoen aan de nieuwe regeling?
Werkgevers mogen niet langer zonder reden nevenwerkzaamheden van werknemers verbieden. Maar wat kunt u als werkgever nog wel doen om te voorkomen dat uw bedrijf of de werknemer in de problemen komt doordat deze nog een andere baan neemt?
Hebben de nieuwe regels van de Hoge Raad voor het beoordelen van arbeidsovereenkomsten ook gevolgen voor de managementovereenkomst? De rechtspraak is er nog niet uit. Dat blijkt uit uitspraken van het Hof Arnhem-Leeuwarden en de Rechtbank Midden-Nederland over de managementovereenkomst van de CFO van de Volksbank.
Voor de opzegging van agentuurovereenkomsten en distributieovereenkomsten gelden verschillende regels. Waar moet u op letten als u een overeenkomst wilt opzeggen? Wat zijn uw rechten als uw overeenkomst wordt opgezegd?