AVG-compliant uitbesteden naar Suriname.
Suriname heeft geen adequacy-decision van de Europese Commissie. Toch is uitbesteding aan BPO 24 volledig AVG-conform. Hier leest u hoe.
Wat de AVG vereist bij doorgifte aan derde landen.
De Algemene Verordening Gegevensbescherming (AVG) staat doorgifte van persoonsgegevens aan landen buiten de Europese Economische Ruimte (EER) alleen toe als er voldoende waarborgen zijn. Suriname beschikt niet over een adequacy-besluit van de Europese Commissie, wat betekent dat er een alternatief rechtsinstrument nodig is.
De meest gebruikte en door de Europese Commissie goedgekeurde methode zijn de Standard Contractual Clauses (SCC), ook wel Standaardcontractbepalingen genoemd. Sinds 27 september 2021 zijn de nieuwe SCC's van kracht, die de oudere modelcontracten vervangen.
Wat SCC 2021 inhoudt.
De SCC's 2021 bestaan uit vier modules, afhankelijk van de relatie tussen de partijen. BPO 24 werkt primair met Module 2 (controller-to-processor): u bent de verwerkingsverantwoordelijke (controller) en BPO 24 is de verwerker (processor). In sommige gevallen, wanneer BPO 24 namens een andere verwerker optreedt, is Module 3 (processor-to-processor) van toepassing.
De SCC's leggen verplichtingen vast voor beide partijen: de doorgevende partij garandeert dat de gegevens rechtmatig worden verwerkt, de ontvangende partij garandeert technische en organisatorische maatregelen die een passend beschermingsniveau bieden. De clausules zijn niet onderhandelbaar — ze worden opgenomen zoals vastgesteld door de Europese Commissie.
Hoe BPO 24 dit invult.
SCC 2021 — Module 2 als standaard
Elke klantovereenkomst bevat de SCC's 2021 Module 2 als bijlage. Het contract is opgesteld naar Nederlands recht; de Surinaamse operatie valt als verwerker onder de verwerkersovereenkomst.
Transfer Impact Assessment (TIA) per klant
Wij leveren standaard een TIA-rapport bij de verwerkersovereenkomst. Dit rapport beoordeelt het rechtsstelsel van Suriname en concludeert dat de SCC's voldoende bescherming bieden voor de specifieke verwerkingsactiviteiten.
VPN en RDP-only werkplekken
Medewerkers werken uitsluitend via versleutelde VPN/RDP-verbindingen. Er vindt geen lokale opslag van klantgegevens plaats. Alle data blijft op uw servers of in uw cloudomgeving.
Multi-factor authenticatie verplicht
Iedere medewerker werkt met dubbele authenticatie. Toegang tot klantsystemen wordt per rol toegekend en gelogd.
NDA's en personeelsschermbeleid
Iedere medewerker tekent een NDA voor aanvang van de werkzaamheden. Telefoons en USB-poorten zijn geblokkeerd op de werkvloer. Toegang tot klantdata is strikt beperkt tot de betrokken medewerkers.
Wat u van ons ontvangt.
| Document | Standaard inbegrepen |
|---|---|
| Verwerkersovereenkomst (DPA) | Ja |
| SCC 2021 Module 2 als bijlage | Ja |
| Transfer Impact Assessment (TIA) | Ja |
| Beveiligingsbeleid (samenvatting) | Ja |
| Toegangslog per medewerker | Op verzoek |
| Subverwerkers-overzicht | Ja |
AVG-vragen?
Onze functionaris voor gegevensbescherming beantwoordt uw vragen over AVG-compliance bij uitbesteding.