Coherta made in Denmark
Få en demo

Support Universe

Hvad er Standard Contractual Clauses (SCC)?

Standard Contractual Clauses (SCC) er EU-Kommissionens standardkontrakter, som du kan bruge, når din virksomhed overfører personoplysninger til en databehandler eller modtager uden for EU/EØS. SCC fungerer som et juridisk “sikkerhedsnet” i GDPR og fastsætter forpligtelser, sikkerhedskrav og rettigheder for registrerede ved internationale dataoverførsler.

Hvad består Standard Contractual Clauses (SCC) af?

SCC er et sæt prædefinerede kontraktklausuler, der kan indgås mellem den dataansvarlige og databehandleren (eller mellem to dataansvarlige), når personoplysninger flyttes på tværs af grænser til lande uden for EU/EØS.

De moderne SCC (opdateret af EU-Kommissionen) er bygget op, så du kan “samle” den rigtige kontrakt ved at vælge relevante moduler afhængigt af jeres roller og datastrømme. Typisk indeholder SCC:

  • Moduler for forskellige overførsler (fx dataansvarlig-til-dataansvarlig og dataansvarlig-til-databehandler).
  • Forpligtelser for parterne om lovlig behandling, gennemsigtighed og dokumentation.
  • Tekniske og organisatoriske sikkerhedsforanstaltninger (TOM’er) og krav til fortrolighed.
  • Underleverandører: regler for brug af sub-processors og flow-down krav.
  • Håndtering af myndighedsanmodninger og krav om at udfordre ulovlige eller uforholdsmæssige forespørgsler.
  • Rettigheder for registrerede, herunder håndhævelse, klagemuligheder og erstatning.
  • Audit- og kontrolrettigheder samt samarbejde ved tilsyn.

Det vigtige i en B2B-kontekst er, at SCC sjældent står alene: De skal passe sammen med din databehandleraftale (DPA), dit sikkerhedssetup og din reelle dataarkitektur.

Hvordan fungerer Standard Contractual Clauses (SCC)?

SCC fungerer som et overførselsgrundlag efter GDPR, når der ikke findes en adequacy-beslutning for modtagerlandet (altså når EU ikke har vurderet, at landet har et “tilstrækkeligt” databeskyttelsesniveau). Ved at underskrive SCC forpligter modtageren sig kontraktligt til at beskytte personoplysninger efter EU-standarder.

I praksis fungerer SCC sådan her:

  • Du kortlægger overførslen: hvilke personoplysninger, hvilke systemer, hvilke lande, hvilke formål og hvilke parter.
  • Du vælger korrekt SCC-modul afhængigt af rollerne (fx om du er dataansvarlig og leverandøren er databehandler).
  • Du udfylder bilagene med konkrete oplysninger (kategorier af data, registrerede, behandlingens karakter, sikkerhedsforanstaltninger, underdatabehandlere osv.).
  • Du vurderer lokal lovgivning i modtagerlandet (Transfer Impact Assessment/”TIA”) og vurderer, om SCC reelt kan efterleves.
  • Du implementerer supplerende foranstaltninger, hvis risikoen kræver det (fx stærk kryptering, nøglestyring i EU, pseudonymisering, adgangskontrol, logging, segmentering).

Pointen er: SCC er ikke bare en underskrift. Hvis modtagerlandets regler (fx adgang for myndigheder) kan undergrave beskyttelsen, skal du kunne dokumentere, hvad du gør for at sikre et “i praksis” tilsvarende beskyttelsesniveau.

Hvorfor er Standard Contractual Clauses (SCC) vigtigt for B2B-virksomheder?

For B2B-virksomheder er SCC især vigtigt, fordi data sjældent bliver i ét system og ét land. Selv i klassisk leadgenerering og marketing automation vil du ofte have en leverandørkæde med hosting, tracking, CRM, e-mailplatforme og analyseværktøjer, hvor nogle behandlingsaktiviteter kan involvere tredjelande.

SCC er forretningskritisk af tre grunde:

  • Compliance og risikostyring: Manglende lovligt overførselsgrundlag kan føre til påbud, stop for overførsler, kontraktbrud og i værste fald bøder.
  • Salgs- og procurement-krav: Særligt større kunder kræver dokumentation for international dataoverførsel, underleverandører, sikkerhed og juridisk grundlag.
  • Tillid og time-to-close: Jo mere moden din dokumentation er, jo hurtigere kommer du gennem vendor due diligence og sikkerhedsgodkendelser.

Hvis du arbejder datadrevet med B2B-leads, bliver governance en konkurrenceparameter. Når du fx eksporterer lead-lister eller synkroniserer til marketingplatforme, skal du kunne forklare, hvor data behandles, og hvordan du sikrer lovligheden. Det gælder både ved import og eksport af data og ved integrationer på tværs af systemer.

Hvordan bruges Standard Contractual Clauses (SCC) i praksis?

Den mest robuste måde at bruge SCC på er at gøre det til en fast del af din leverandørproces og din data governance, ikke en ad hoc-øvelse, når en kunde spørger.

Her er typiske B2B-scenarier, hvor SCC bliver relevant:

  • CRM og marketing automation: Når personoplysninger om leads og kontakter behandles hos en leverandør med datacentre eller supportfunktioner uden for EU/EØS.
  • Cloud hosting og drift: Infrastrukturleverandører, backup, logging og overvågning kan involvere tredjelande.
  • Support og udvikling: Adgang til produktionsdata fra teams eller underleverandører uden for EU/EØS.
  • Data enrichment og lead research: Tredjepartstjenester, som beriger eller matcher data, kan have globale behandlingsflows.

Sådan får du SCC til at fungere i en praktisk, driftbar model:

  • Hold styr på dine datastrømme: Dokumentér, hvilke data der flyder hvorhen, og hvilke leverandører der indgår (inkl. underdatabehandlere).
  • Standardisér dine bilag: Bilagene i SCC skal være konkrete. Lav interne skabeloner for data-kategorier, formål, retention og sikkerhed.
  • Knyt SCC til din DPA: SCC og databehandleraftale skal være konsistente (roller, instrukser, sub-processors, audits, sletning).
  • Lav TIA som fast kontrolpunkt: Særligt ved USA og andre lande med omfattende myndighedsadgang bør du kunne redegøre for risici og afværgeforanstaltninger.
  • Implementér “need-to-know” adgang: Begræns supportadgang, brug MFA, logging og segmentér data, så følsomme oplysninger ikke eksponeres unødigt.

Hvis du arbejder operationelt med dataflows i Coherta, kan det være relevant at dokumentere, hvordan du håndterer dataudveksling og integrationer. Se fx mulighederne for import af data og eksport af data, så du kan designe en proces, hvor kun nødvendige personoplysninger flyttes videre i dit set-up.

Har du brug for at automatisere og begrænse dataoverførsel via systemintegrationer, kan det også være relevant at se på Cohertas API og den konkrete guide til integration, så du kan bygge integrationer, der understøtter dataminimering og kontrol.

Fordele og ulemper

Fordele: SCC er en anerkendt, standardiseret og bredt anvendt mekanisme, som gør det muligt at samarbejde globalt uden at skulle forhandle helt nye transfer-klausuler fra bunden hver gang. For mange B2B-virksomheder er SCC den mest realistiske vej til at få leverandørkæden til at fungere compliance-mæssigt.

Ulemper: SCC kan skabe falsk tryghed, hvis du ikke samtidig vurderer reelle risici i modtagerlandet og implementerer supplerende foranstaltninger. Derudover kan vedligeholdelse være tung, hvis du har mange leverandører, mange underdatabehandlere og hyppige ændringer i datastrømme.

Typiske misforståelser

  • “SCC gør overførslen automatisk lovlig.” Nej. Du skal stadig sikre, at beskyttelsen kan efterleves i praksis, og ofte dokumentere en TIA.
  • “Hvis leverandøren har SCC, er vi dækket.” Ikke nødvendigvis. SCC skal passe til jeres konkrete roller og bilagene skal afspejle jeres behandling og sikkerhed.
  • “SCC erstatter vores databehandleraftale.” SCC er et overførselsgrundlag. Du har stadig behov for en DPA, der beskriver behandlingen, instrukser og driftskrav.
  • “SCC handler kun om cloud.” Overførsler kan også ske via supportadgang, fjernadministration, koncernstrukturer eller underleverandører.
  • “Vi har ingen overførsler, fordi vi er i EU.” Selv hvis din virksomhed er i EU, kan dine leverandører eller deres underleverandører behandle data uden for EU/EØS.

FAQ

Hvornår har du brug for SCC?

Du har typisk brug for SCC, når personoplysninger overføres til en modtager i et land uden for EU/EØS, og der ikke findes en EU-adequacy-beslutning for landet. Det kan fx være ved brug af en leverandør, der behandler data i tredjelande eller giver adgang fra tredjelande.

Er SCC nok efter Schrems II?

SCC kan stadig bruges, men du skal vurdere risikoen i modtagerlandet og ofte supplere med tekniske og organisatoriske foranstaltninger. Hvis du ikke kan opnå et tilsvarende beskyttelsesniveau i praksis, kan overførslen være problematisk, selv med SCC.

Hvad er en Transfer Impact Assessment (TIA), og hvorfor hænger den sammen med SCC?

En TIA er din dokumenterede vurdering af, om modtagerlandets lovgivning og den konkrete leverandørs setup gør det muligt at efterleve SCC. Den er central, fordi SCC er kontraktlige løfter, som kan blive undergravet, hvis lokale regler kræver udlevering eller adgang, du ikke kan kontrollere.

Skal SCC underskrives i sin helhed, eller kan du ændre dem?

Du må som udgangspunkt ikke ændre i selve standardklausulerne, hvis du vil bevare deres status som EU-godkendt overførselsgrundlag. Du kan typisk tilføje supplerende klausuler, så længe de ikke modstrider SCC eller reducerer beskyttelsen.

Hvordan ved du, om dine leverandører overfører data til tredjelande?

Du bør få det afklaret via leverandørens DPA, underdatabehandlerliste, hostinglokationer, supportmodeller og sikkerhedsdokumentation. Spørg også konkret ind til fjernadgang, logdata, backup, og om data kan tilgås fra lande uden for EU/EØS.

Få styr på datagrundlaget i din leadgenerering uden at bremse væksten

Når du arbejder med B2B-leadgenerering, er dataflow og compliance tæt forbundet: jo bedre du afgrænser, dokumenterer og automatiserer dine datastrømme, jo nemmere bliver SCC, TIA og kundernes due diligence. Hvis du vil opbygge en leadmotor med klare processer for datahåndtering og integrationer, kan du se hvordan vores leadmotor er bygget og hvordan Coherta virker i praksis.