Wat is er veranderd?
In een arrest van 16 juli 2020 heeft het Europese Hof van Justitie het Privacy Shield, dat voorheen relevant was voor gegevensoverdrachten tussen Europa en de Verenigde Staten, ongeldig verklaard. Het Hof verklaarde verder dat modelcontractbepalingen (standard contractual clauses "SCC's") in beginsel gebruikt mogen blijven worden voor de doorgifte van gegevens naar derde landen met een ontoereikend niveau van gegevensbescherming, op voorwaarde dat er aanvullende waarborgen voor de persoonsgegevens worden getroffen (het zogenaamde Schrems II-arrest).
Wegens noodzakelijke aanpassingen door de invoering van de Algemene Verordening Gegevensbescherming (AVG) en in antwoord op de door Schrems II vereiste aanvullende waarborgen, heeft de Europese Commissie op 4 juni 2021 herziene en gewijzigde SCC's uitgevaardigd, ter vervanging van de vorige SCC's die nog waren vastgesteld op basis van de Databeschermingsrichtlijn 95/46, die door de AVG werd vervangen. Nieuwe contracten die voorzien in doorgifte naar derde landen kunnen al vanaf 27 september 2021 niet meer worden gebaseerd op de oude SCC's, en tijdens de overgangsperiode aflopende op 27 december 2022 moeten de oude SCC's voor bestaande contracten uiterlijk worden vervangen.
Hoe heeft Planon de nieuwe eisen geïmplementeerd?
- De standaard verwerkersovereenkomst (data processing agreement "DPA") van Planon is aangepast. Meer specifiek zijn de volgende clausules in de DPA van uw raamovereenkomst gewijzigd:
○ Artikel 1 lid g Modelcontractbepalingen: de term modelcontractbepalingen betekent de modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen die door de Europese Commissie zijn vastgesteld bij haar uitvoeringsbesluit van 4 juni 2021, of andere door de Europese Commissie goedgekeurde modelcontractbepalingen die deze wijzigen, vervangen of vervangen;
○ Artikel 2.11 Geldigheid van Modelcontractbepalingen: De Modelcontractbepalingen zullen van toepassing zijn op Persoonsgegevens die buiten de EER worden doorgegeven aan een derde land of een internationale organisatie die door de Europese Commissie niet is erkend als een organisatie die een passend beschermingsniveau biedt voor persoonsgegevens (zoals beschreven in artikel 45 van de GDPR). Planon garandeert dat indien Persoonsgegevens buiten de EER zullen worden doorgegeven in elke situatie de juiste module van de Modelcontractbepalingen is overeengekomen met de relevante Gegevensimporteur (zoals gedefinieerd in de Modelcontractbepalingen).
○ Daarnaast zijn de oude EU-modelcontractbepalingen tussen de verwerkingsverantwoordelijke en verwerker, die voorheen deel uitmaakten van de DPA in bijlage III, geschrapt. De oude modelcontractbepalingen worden vervangen door de nieuwe bepalingen, die worden gesloten in de rechtstreekse relatie tussen verwerker en subverwerker ingeval persoonsgegevens worden doorgegeven aan een derde land buiten de EER, dat persoonsgegevens niet voldoende beschermt. - De verwerkersovereenkomst met Cloud Services provider Amazon Web Services ("AWS") is geactualiseerd. Planon werkt samen met de Cloud Services provider AWS. Ook hier hechten wij veel waarde aan een beschermingsconforme verwerking van uw gegevens. Daarom hebben wij naast de serviceovereenkomst een verwerkersovereenkomst gesloten met het Europese bedrijf Amazon Web Services EMEA SARL ("AWS Europe", gevestigd in Luxemburg), waarin de vereisten van de AVG zijn geïmplementeerd en waarin de nieuwe SCC's zijn opgenomen. Neem contact op met uw account manager voor meer informatie over de samenwerking met AWS.
- De Intra-Company Overeenkomst van Planon is herzien. De gegevensoverdracht binnen de Planon Groep is geregeld in een intra-company overeenkomst die betrekking heeft op alle relevante gegevensstromen. De overeenkomst is herzien om ervoor te zorgen dat de intra-company gegevensstromen binnen het ondersteuningsproces naar de dochteronderneming Planon India, zijn gebaseerd op de nieuwe SCC's.
Wij hebben met name de overdrachtseffectbeoordeling uitgevoerd die op grond van artikel 14 van de nieuwe SCC's tussen de verwerker en de subverwerker vereist is voor de doorgifte van persoonsgegevens van klanten naar India (via remote access) als onderdeel van het support proces. Rekening houdend met alle beveiligingsmaatregelen die aan Planon's kant zijn genomen en de specifieke doorgifte, is het resultaat een laag risico. - Meer informatie over de technische en organisatorische beveiligingsmaatregelen met betrekking tot support diensten buiten de Europese Economische Ruimte, en in het bijzonder India, vindt u in de whitepaper. Neem contact op met uw account manager voor meer informatie.
Wat moet u nu doen?
Wij adviseren en ondersteunen u graag bij verdere vragen of implementaties. Neem hiervoor contact op met uw accountmanager.