Privacy Shield vervangen? De cruciale rol van een Data Transfer Impact Assessment bij veilige data-overdracht

Het waarborgen van de privacy en (informatie)veiligheid van persoonsgegevens bij doorgifte naar landen buiten de Europese Economische Ruimte (EER) is cruciaal voor organisaties. Een belangrijk instrument hierbij is de Data Transfer Impact Assessment (DTIA). In dit artikel bespreken we de noodzaak van een DTIA, de context van gegevensoverdracht naar de Verenigde Staten (VS) en de recente ontwikkelingen rondom het Trans-Atlantic Data Privacy Framework.

Een DTIA is een risicobeoordeling die organisaties uitvoeren wanneer zij persoonsgegevens willen doorgeven aan landen buiten de EER. Het doel is om te evalueren of het beschermingsniveau van persoonsgegevens in het ontvangende land adequaat is en in lijn met de Algemene Verordening Gegevensbescherming (AVG). Dit is essentieel om de rechten en vrijheden van betrokkenen te beschermen.

Op 16 juli 2020 verklaarde het Hof van Justitie van de Europese Unie het EU-VS Privacy Shield ongeldig in de zogenaamde Schrems II-zaak. Dit betekende dat organisaties in de EU niet langer persoonsgegevens konden doorgeven aan de VS op basis van dit mechanisme. Wanneer dat wel gebeurt, ben je als organisatie in overtreding van de AVG/GDPR.

Als gevolg moesten organisaties op zoek naar alternatieve waarborgen om gegevensoverdrachten legaal te houden. Doorgifte van persoonsgegevens naar een land buiten de Europese Economische Ruimte (EER) is namelijk wel toegestaan als daar zogenaamde ‘passende waarborgen’ voor zijn getroffen. In hoofdstuk V van de AVG-wet staat uiteengezet welke passende waarborgen een organisatie kan treffen.

Eén van de meest toegepaste waarborgen zijn ‘Standard Contractual Clauses’ (SCC). Bij veel grote IT-aanbieders uit de VS zijn dit soort SCC’s ingebakken in de contracten. Denk aan partijen als Google, Hubspot en Microsoft. Enige tijd geleden zijn de SCC’s onder de loep genomen door de Europese Commissie en vernieuwd. Organisaties kunnen een modelcontract hiervoor gebruiken, zodat ze niet zelf een contract op hoeven te stellen en er zeker van zijn dat het contract voldoet aan de AVG. Organisaties die, voor vernieuwing van de SCC’s, al een modelcontract gebruikten, hebben gemiddeld 18 maanden de tijd om de huidige contracten om te zetten naar de nieuwe vorm.

Het modelcontract bestaat uit een algemeen deel en vier modules (bron: AP), te weten:

Hoewel SCC’s een veelgebruikt mechanisme zijn voor gegevensoverdracht, zijn ze op zichzelf mogelijk niet voldoende. Organisaties moeten aanvullende maatregelen treffen en bijvoorbeeld een DTIA uitvoeren om te beoordelen of de gegevens in het ontvangende land voldoende beschermd zijn. Dit omvat het analyseren van de wetgeving en praktijken van het derde land om te verzekeren dat deze niet in strijd zijn met de AVG.

In reactie op de Schrems II-uitspraak hebben de EU en de VS gewerkt aan een nieuw kader voor gegevensoverdracht: het Trans-Atlantic Data Privacy Framework. Op 10 juli 2023 heeft de Europese Commissie een adequaatheidsbesluit genomen, wat inhoudt dat de VS volgens dit nieuwe kader een passend beschermingsniveau biedt voor persoonsgegevens. Dit maakt gegevensuitwisseling tussen de EU en de VS weer mogelijk zonder aanvullende waarborgen.

Volgens het Hof zijn modelcontracten een geldige grondslag voor doorgifte van persoonsgegevens. Dat geldt echter alleen als er een gelijkwaardig beschermingsniveau kan worden gewaarborgd. De eigenaar van de persoonsgegevens – verantwoordelijke onder de AVG – moet zich inspannen om aan te tonen dat dit niet zomaar uit de lucht gegrepen is. En juist de uitspraken in het kader van Schrems II maken het niet meer aannemelijk dat de beveiliging afdoende is, als de eigenaar alleen vertrouwt op de beloften van de leverancier.

Het uitvoeren van een Data Transfer Impact Assessment is een cruciale stap voor organisaties die persoonsgegevens willen overdragen naar landen buiten de EER. Met de recente ontwikkelingen rondom het Trans-Atlantic Data Privacy Framework is er meer duidelijkheid gekomen over gegevensoverdracht naar de VS. Toch blijft het van groot belang dat organisaties zorgvuldig te werk gaan en de nodige assessments uitvoeren om de privacy en veiligheid van persoonsgegevens te waarborgen.

Een praktische en verstandige methode hiervoor is via een Data Transfer Impact Assessment (DTIA of TIA). Als het ware een risicoanalyse waarbij risico’s worden beoordeeld met betrekking tot de doorgifte van persoonsgegevens naar landen die een ander beschermingsniveau kennen als wij. Dat geldt zeker voor nieuwe verwerkingen (doe de analyse dan ook voordat je gaat doorgeven), maar het is reëel om ook bestaande doorgiften te controleren.

Uit een DTIA moet blijken:

Bij iedere overdracht van persoonsgegevens is het zaak om een dergelijke beoordeling uit te voeren. Daarbij wordt onder andere gekeken naar de wet- en regelgeving van het betreffende land waaraan gegevens worden overgedragen en naar specifieke kenmerken van de betreffende gegevensdoorgifte. Denk daarbij aan kenmerken als het aantal betrokken partijen, het type persoonsgegevens, beveiligingsaspecten, middelen en kanalen, het doel, opslag van gegevens etc.

Hieronder opgesomd de elementen waaruit een DTIA bestaat:

Door een dergelijke risicobeoordeling uit te voeren is het mogelijk om waar nodig aanvullende maatregelen op te nemen om de veiligheid van de gegevensdoorgifte te kunnen borgen. Het meest voorkomende voorbeeld is dan encryptie.

Anderzijds kan het ook zo zijn dat uit de beoordeling blijkt dat de risico’s niet aanvaardbaar zijn en de andere partij niet geschikt blijkt om mee in zee te gaan. Ook om deze reden zijn een aantal VS-gebaseerde cloud-aanbieders bezig met het inrichten van nieuwe EU-gebaseerde wettelijke entiteiten en het vergoten van capaciteit van Europese datacenters.

Wil je een DTIA uitvoeren of heb je (aanvullend) advies of ondersteuning nodig om privacy en (informatie)veiligheid van persoonsgegevens bij doorgifte naar landen buiten de Europese Economische Ruimte (EER) te waarborgen? Neem gerust contact met ons op. Wij helpen je graag verder!