Verwerkersovereenkomsten leveranciers

Wat zijn standaard contractbepalingen (SCC) en waarom zijn ze belangrijk voor clouddiensten?

Eva de Vries Eva de Vries
· · 7 min leestijd

Stel je even voor: je bent net begonnen met een te gekke nieuwe onderneming of je bent druk bezig met een belangrijk project. Je kiest voor een cloudoplossing, bijvoorbeeld van Microsoft Azure of Amazon AWS.

Inhoudsopgave
  1. De basis: Wat zijn Standaard Contractbepalingen eigenlijk?
  2. Waarom zijn ze zo belangrijk voor clouddiensten?
  3. Hoe werken SCC’s in de praktijk?
  4. De nieuwe SCC’s: Waarom verandering nodig was
  5. Wie is er verantwoordelijk?
  6. Waarom je niet om de SCC heen kunt in 2024 en verder
  7. Conclusie: Een must-have voor iedere cloudgebruiker

Het voelt als een simpele klik op een knop en je bent online.

Makkelijk, snel en overal beschikbaar. Maar achter die schermen gebeurt er iets veel belangrijkers: je vertrouwt je kostbaarste data toe aan een bedrijf dat misschien wel aan de andere kant van de wereld zit. Hier komt het verhaal van de Standaard Contractbepalingen, oftewel SCC’s, om de hoek kijken.

Dit is het saaie, maar super cruciale gereedschap dat jouw data beschermt. Veel mensen denken dat privacy en veiligheid in de cloud automatisch geregeld zijn door technologie, maar het echte zware werk wordt gedaan door juridische documenten. SCC’s zijn de onzichtbare veiligheidslijn die ervoor zorgt dat jouw data niet zomaar in het wilde weg wordt rondgestuurd. Laten we eens duiken in wat dit precies is en waarom je er niet omheen kunt.

De basis: Wat zijn Standaard Contractbepalingen eigenlijk?

Oké, laten we de juridische taal even vergeten. Standaard Contractbepalingen (SCC) zijn eigenlijk een kant-en-klaar contract dat is opgesteld door de Europese Commissie. Het doel?

Het waarborgen van de privacy van burgers en bedrijven wanneer hun data de Europese grens overgaat. Europa heeft een hele sterke wetgeving voor data-privacy: de AVG (Algemene Verordening Gegevensbescherming). Deze wet is streng en beschermt jouw rechten.

Maar wat gebeurt er als je gebruikmaakt van een clouddienst die servers heeft staan in de Verenigde Staten, India of Brazilië? Dan verlaat jouw data het beschermde gebied van de Europese Economische Ruimte (EER).

De SCC’s bieden hier de oplossing. Ze zijn een gestandaardiseerd setje regels dat door de Europese Commissie is goedgekeurd.

Het zorgt ervoor dat de partij die jouw data ontvangt (de ‘ontvanger’) zich aan dezelfde privacy-normen moet houden als wij hier in Europa. Zonder deze bepalingen zou het overdragen van data naar landen buiten de EU juridisch gezien een heel grijs gebied zijn, en dat risico wil niemand lopen.

Waarom zijn ze zo belangrijk voor clouddiensten?

Je vraagt je misschien af: “Waarom maak ik me druk om contracten? Ik wil gewoon dat mijn e-mail werkt en mijn bestanden veilig zijn.” Begrijpelijk, maar in de cloudwereld is data het nieuwe goud.

Clouddiensten zijn vaak globale netwerken. Een bedrijf als Google of Microsoft heeft datacenters over de hele wereld. Ze verplaatsen jouw data constant tussen die locaties om de snelheid te maximaliseren of back-ups te maken.

Als bedrijf of particulier ben je verantwoordelijk voor je eigen data. Als je zomaar een clouddienst gebruikt zonder te kijken naar de contracten, loop je het risico dat je data terechtkomt in een land waar de privacywetgeving minder streng is dan in Europa.

De bescherming tegen ongeautoriseerde toegang

Dit kan leiden tot problemen met de Autoriteit Persoonsgegevens, boetes of imagoschade. SCC’s zorgen voor een stabiele juridische basis, ongeacht waar de server fysiek staat. Een van de grootste angsten van bedrijven is dat derden onbedoeld toegang krijgen tot hun gevoelige informatie.

Denk aan intellectueel eigendom, klantgegevens of financiële cijfers. De SCC’s leggen vast dat de cloudprovider geen toegang mag geven aan buitenlandse overheden zonder dat dit wettelijk is toegestaan en zonder dat jij daarover bent geïnformeerd.

Stel je voor dat je gebruikmaakt van een Amerikaanse clouddienst. Zonder SCC’s zou je onderhevig kunnen zijn aan wetten zoals de CLOUD Act, waardoor Amerikaanse autoriteiten in theorie toegang kunnen eisen tot jouw data, zelfs als die op een server in Europa staat.

De SCC’s bieden een extra laag bescherming en eisen dat de provider juridische stappen onderneemt om dit soort verzoeken af te wijzen als ze in strijd zijn met Europese wetgeving.

Hoe werken SCC’s in de praktijk?

Het mooie van de SCC’s is dat ze eigenlijk een standaard template zijn.

Je hoeft het wiel niet opnieuw uit te vinden. Grote cloudproviders zoals Microsoft, Amazon en Google hebben deze bepalingen vaak al geïntegreerd in hun algemene voorwaarden. Als klant hoef je ze meestal alleen maar te accepteren of te ondertekenen. Er bestaan verschillende modules binnen de SCC’s, afhankelijk van je rol:

  • Module 1: Voor transfers tussen twee controllers (bijvoorbeeld twee bedrijven die samenwerken).
  • Module 2: Voor een controller die data doorgeeft aan een verwerker (bijvoorbeeld jij en je cloudprovider).
  • Module 3: Voor verwerkers onderling (als je cloudprovider weer een subprocessor inschakelt).
  • Module 4: Voor een verwerker die data doorgeeft aan een controller (minder gebruikelijk, maar bestaat).

Voor de meeste bedrijven die een cloudoplossing afnemen, is Module 2 de meest relevante. Dit is de schakel tussen jou (de baas van de data) en de cloudprovider (die de data verwerkt).

De technische en organisatorische maatregelen

SCC’s gaan niet alleen over papierwerk. Ze verplichten de cloudprovider ook om technische maatregelen te nemen.

Dit betekent dat de provider moet aantonen dat ze encryptie (versleuteling) gebruiken, sterke toegangscontroles hebben en regelmatig audits uitvoeren. Bijvoorbeeld: als je een document opslaat in de cloud, moet het versleuteld zijn, zowel onderweg (tussen jouw computer en de server) als rustend (op de server zelf). De SCC’s eisen dit contractueel. Zonder deze eisen zou een provider kunnen volstaan met een simpele wachtwoordbescherming, wat vaak niet voldoende is voor gevoelige bedrijfsdata.

De nieuwe SCC’s: Waarom verandering nodig was

In 2021 heeft de Europese Commissie een nieuwe versie van de SCC’s uitgebracht. Dit was nodig omdat de oude versie (uit 2001 en 2010) niet meer was toegesneden op de moderne cloudtechnologie en de nieuwe privacywetgeving (AVG).

De nieuwe SCC’s zijn modulair en flexibeler. Een groot verschil is de focus op “afwikkeling” (data processing agreements). In de nieuwe versie is duidelijker vastgelegd wat er gebeurt als de samenwerking stopt.

Stel dat je klantgegevens opslaat bij een Amerikaans cloudbedrijf; de SCC’s verplichten de provider om jouw data op een veilige manier te verwijderen of terug te geven.

Dit voorkomt dat er “spookdata” achterblijft op servers waar je geen controle meer over hebt. Daarnaast is er meer aandacht voor subprocessors. Grote clouddiensten maken vaak gebruik van derde partijen voor specifieke taken, zoals opslag of netwerkbeveiliging.

De nieuwe SCC’s eisen dat de cloudprovider een lijst bijhoudt van deze subprocessors en dat ze jou op de hoogte brengen als er nieuwe partijen bijkomen. Zo blijf je altijd weten waar je data zich bevindt.

Wie is er verantwoordelijk?

Er bestaat een misverstand dat de cloudprovider alle verantwoordelijkheid draagt. Dat is niet waar.

De SCC’s zijn een gedeelde verantwoordelijkheid. Jij als klant moet er ook voor zorgen dat je de cloudoplossing op een veilige manier inricht. De cloudprovider garandeert de beveiliging van hun infrastructuur (de fysieke servers en netwerken), maar jij bent verantwoordelijk voor de beveiliging van je eigen account.

Als jij bijvoorbeeld je wachtwoord op een briefje op je bureau plakt, helpt de beste SCC ter wereld niet.

De SCC’s leggen de juridische kaders vast, maar de uitvoering is een partnerschap. Denk aan een bedrijf als Salesforce of HubSpot. Zij bieden CRM-systemen in de cloud.

Zij hebben de SCC’s getekend om ervoor te zorgen dat Europese klantgegevens veilig zijn. Als gebruiker moet je wel zelf je privacy-instellingen correct configureren.

Waarom je niet om de SCC heen kunt in 2024 en verder

De wereld wordt digitaler en de privacywetten strenger. Na de uitspraak van het Hof van Justitie van de Europese Unie (de zogenaamde Schrems II-uitspraak) is het belang van sterke contracten alleen maar toegenomen.

Deze uitspraak zorgde ervoor dat het oude privacyschild tussen Europa en de VS ongeldig werd verklaard omdat het onvoldoende bescherming bood tegen Amerikaanse inlichtingendiensten. SCC’s zijn nu het belangrijkste mechanisme om data-overdrachten naar landen buiten de EER te legaliseren.

Zonder deze bepalingen loop je het risico dat je clouddienst plotseling niet meer compliant is. Voor bedrijven betekent dit dat je due diligence moet doen voordat je een contract ondertekent. Je moet controleren of de provider de juiste modules van de SCC’s gebruikt en of deze correct zijn ingevuld. Stel je voor dat je een groot project lanceert en je data plotseling geblokkeerd wordt omdat je niet voldoet aan de regelgeving. Dat is een nachtmerrie die je met de juiste contracten voorkomt.

Conclusie: Een must-have voor iedere cloudgebruiker

Standaard Contractbepalingen klinken misschien als droge juridische taal, maar ze zijn de hoeksteen van een veilige cloudstrategie. Of je nu een klein bedrijf runt dat foto’s opslaat in de cloud of een multinational bent die geheime formules bewaart, SCC’s zorgen voor een gelijk speelveld.

Zonder SCC’s zou het digitale landschap een wild west zijn waar je data zomaar kan verdwijnen in een juridisch zwart gat.

Met SCC’s heb je de garantie dat je data beschermd wordt volgens de hoogste Europese standaarden, ongeacht waar de server fysiek staat. Dus, de volgende keer dat je een clouddienst afsluit, neem dan even de tijd om de voorwaarden te checken. Kijk of de SCC’s vermeld staan.

Het is een kleine moeite die je een hoop gemoedsrust en juridische zekerheid oplevert. In de digitale wereld van vandaag is dat pure winst.

Lees ook
Wat is een verwerkersovereenkomst en wanneer ben je verplicht die af te sluiten? Hoe weet je of een leverancier een verwerker is of een zelfstandige verwerkingsverantwoordelijke? Wat moet er minimaal in een verwerkersovereenkomst staan onder de AVG? Verwerkersovereenkomst voorbeeld voor een kleine Nederlandse webshop Verwerkersovereenkomst voorbeeld voor een ZZP'er met een externe boekhouder Hoe vraag je als kleine ondernemer een verwerkersovereenkomst aan bij een grote leverancier?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Verwerkersovereenkomsten leveranciers

Bekijk alle 22 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een verwerkersovereenkomst en wanneer ben je verplicht die af te sluiten?
Lees verder →