Schrems-saga heeft een vervolg: nieuwe concept SCC’s onder de loep

Afgelopen juli heeft het Hof van Justitie van de Europese Unie het Privacy Shield met onmiddellijke ingang ongeldig verklaard. Dit gebeurde in de spraakmakende Schrems II-zaak. Deze uitspraak legde een bom onder het internationale dataverkeer en de onzekerheid neemt toe. Eerder berichtten wij al over de aanbevelingen van de EDPB. In dit bericht een update en onze input op de ‘Standard Contractual Clauses’ (SCC’s).  

Onze feedback

Op 12 november jl. heeft de Europese Commissie een tweetal concept Standard Contractual Clauses gepubliceerd. Dit zijn modelcontracten die ervoor moeten zorgen dat het beschermingsniveau van data buiten de EU/EER gelijk is aan dat van binnen de EU. De consultatieperiode is gesloten op 10 december jl. Mede dankzij input van onze leden hebben wij uitvoerig kunnen reageren. Zowel op de SCC’s voor de ‘Verwerkingsverantwoordelijke – verwerker’ als die voor de ‘Doorgifte naar derde landen’ hebben we feedback aangeleverd. Waarbij laatstgenoemde SCC’s met name van belang zijn in de Schrems-saga. Onze reacties op de Standard Contractual Clauses kun je hier en hier vinden. We hebben in onze reacties een aantal algemene punten gemaakt en een gedetailleerde tabel met aanbevelingen. De algemene punten noemen we hieronder kort en de gedetailleerde punten kun je vinden in de ingediende reacties.

SCC’s: Verwerkingsverantwoordelijke – Verwerker

  1. De SCC’s gaan nagenoeg niet in op plichten voor de verwerkingsverantwoordelijke. Als verwerker ben je daarmee in het nadeel, terwijl de SCC’s juist bedoeld zijn om (kleinere) verwerkers te ondersteunen. Er moet wat ons betreft een betere balans komen tussen de belangen van de verwerkingsverantwoordelijke en de verwerker.
  2. We vinden het format voor de clausules onlogisch en doen suggesties om de overeenkomst meer flexibel toe te kunnen passen. Datgene wat partijen moeten invullen in de bijlagen (annexes) zou vooraan moeten komen in het document, en de bepalingen die vaststaan (de clauses) zouden naar de achtergrond kunnen schuiven. Precies andersom dan het voorstel dat er nu ligt.
  3. Er worden plichten aan de verwerker opgelegd die volgens de Avg bij de verwerkingsverantwoordelijke horen. Het opleggen van meer verplichtingen dan wettelijk vereist aan verwerkers, is oneerlijk en onwenselijk. We stellen dan ook voor deze te schrappen.

SCC’s: Doorgifte derde landen

  1. We zijn het eens met de ‘risk based approach’ die de EC in tegenstelling tot de EDBP hanteert. Er moet worden gezocht naar harmonisatie tussen de EDBP aanbevelingen, de SCC’s en de Avg.
  2. De transitieperiode van één jaar vinden wij te kort, gelet op de uitdaging waar organisaties voor komen te staan.
  3. De middelen en mogelijkheden voor (kleinere) organisaties zijn vaak te beperkt om het door de SCC’s opgelegde onderzoek te kunnen uitvoeren. Bovendien is dit een politiek probleem dat niet door bedrijven kan worden opgelost. We blijven hier in Den Haag en Brussel aandacht voor vragen.
  4. Ook hier vinden wij het format weer onlogisch, net als hierboven onder 1. genoemd bij de andere SCC’s.
  5. We hebben praktische bezwaren tegen de plicht voor verwerkingsverantwoordelijken om partij te zijn bij de SCC’s in het geval dat module 3 (P2P) gebruikt wordt.

Input op openstaande consultatie EDPB

De EDBP heeft momenteel ook een consultatie openstaan tot 21 december aanstaande. Wij hebben daar al eerder over bericht en zullen er uitvoerig op gaan reageren. Als jullie input willen geven, dan is die van harte welkom. Er moet een werkbare handreiking komen, zodat er een oplossing komt die overeenstemt met de middelen en mogelijkheden van de meeste (Nederlandse) organisaties. Daarnaast biedt dit een mogelijkheid om de aanbevelingen te laten aansluiten bij de net besproken meer pragmatische en realistische concept standaardclausules van de Europese Commissie.   

Deel via:

Het laatste nieuws

ABRO: Nieuwe beveiligingseisen voor leveranciers aan Rijksoverheid en Politie

Vanaf 2026 geldt met ABRO één uniform stelsel van beveiligingseisen voor leveranciers aan de Rijksoverheid en Politie, gericht op het beschermen van de nationale veiligheid tegen onder andere spionage en sabotage. Leveranciers moeten rekening houden met strengere, proportioneel toegepaste eisen op gebieden als cyber, cloud en ketenbeveiliging, waarbij het Nationaal Bureau Industrieveiligheid toeziet op de naleving.
Politiek & wetgeving

Wat betekent de verkiezingsuitslag voor de digitale sector? 

Nu de verkiezingsuitslag op hoofdlijnen vastgesteld is, kunnen we voorzichtig mogelijke coalities in kaart gaan brengen. We kijken naar reële coalities op basis van de uitslag, wat partijen eerder zelf uitgesproken hebben, en ook zetelaantallen in de Eerste Kamer. Met behulp van onze analyse van de verkiezingsprogramma’s kijken we ook vooruit naar wat deze coalities zullen betekenen voor de digitale sector. Met VNO-NCW en MKB-Nederland delen wij in ieder geval de visie dat de politiek geen tijd te verliezen heeft en nú werk moet maken van een stabiel en daadkrachtig kabinet. 
Politiek & wetgeving

NLdigital: Volt meest digitaal, CDA verrassende binnenkomer kopgroep

NLdigital analyseerde alle partijprogramma’s op digitale thema’s: Volt scoort het hoogst, gevolgd door VVD, D66 en verrassend CDA. De Verkiezingsmatrix laat grote verschillen zien per thema: innovatie en AI krijgen veel aandacht, maar cybersecurity en digitale overheid blijven onderbelicht. NLdigital ziet bij een mogelijke nieuwe coalitie met VVD, CDA en D66 kansen voor serieuze stappen in de digitale economie.
Politiek & wetgeving

Nieuwe manager grootzakelijk bij NLdigital: Jochem de Groot start als hoofd Beleid & Public Affairs

Jochem de Groot is gestart als manager grootzakelijk en hoofd Beleid & Public Affairs bij NLdigital. Met zijn brede ervaring op het snijvlak van technologie, beleid en strategie gaat hij zich richten op thema’s als digitale autonomie en AI-regulering. Jochem wil een brug slaan tussen de grootzakelijke achterban en beleidsmakers in Den Haag en Brussel.

NLdigital lanceert NLdigital Voorwaarden 2025 

NLdigital brengt nieuwe algemene voorwaarden voor IT-bedrijven op de markt. Deze NLdigital Voorwaarden 2025 vervangen de veelgebruikte NLdigital Voorwaarden uit...
Contracten & voorwaarden