Wanneer je als organisatie te maken hebt met gegevensdoorgifte naar landen buiten de Europese Economische Ruimte (EER) dan ben je ongetwijfeld op de hoogte van het feit dat vorig jaar het Privacy Shield ongeldig is verklaard. Een alternatieve oplossing om aan geldende AVG-wetgeving te kunnen (blijven) voldoen is het opstellen van Standard Contractual Clauses (SCC). Deze SCC’s zijn onlangs vernieuwd en daarmee een geldige grondslag voor doorgifte van persoonsgegevens. Dat geldt echter alleen wanneer er sprake is van een gelijkwaardig beschermingsniveau. Dat kan getoetst worden met behulp van een Data Transfer Impact Assessment (DTIA of TIA). Een risicobeoordeling met betrekking tot doorgifte van persoonsgegevens naar landen buiten de EER.
Nieuwe Standard Contractual Clauses (SCC)
Op 16 juli 2020 verklaarde het Hof van Justitie van de Europese Unie het EU-VS Privacy Shield ongeldig (de zaak Schrems II), omdat de Amerikaanse overheid persoonsgegevens onvoldoende beschermt. Gevolg: organisaties in de EU mogen geen persoonsgegevens meer doorgeven aan de VS op grond van het Privacy Shield. Wanneer dat wel gebeurt, ben je als organisatie in overtreding van de AVG/GDPR.
Bekijk ook ons eerdere artikel hierover: Privacy Shield ingetrokken. Mag je nog persoonsgegevens naar de VS sturen?
Download de ISO 27001 whitepaper
Wil je alles weten over de ISO 27001 norm? In deze whitepaper vertellen we je over de norm en over de toepassing ervan binnen jouw organisatie. De gids is geheel vrijblijvend te downloaden.
Doorgifte van persoonsgegevens naar een land buiten de Europese Economische Ruimte (EER) is echter wel toegestaan als daar zogenaamde ‘passende waarborgen’ voor zijn getroffen. In hoofdstuk V van de AVG-wet staat uiteengezet welke passende waarborgen een organisatie kan treffen.
Ook interessant om te lezen: Wet- en regelgeving informatiebeveiliging en ISO 27001
Eén van de meest toegepaste waarborgen zijn ‘Standard Contractual Clauses’ (SCC). Bij veel grote IT-aanbieders uit de VS zijn dit soort SCC’s ingebakken in de contracten. Denk aan partijen als Google, Hubspot en Microsoft. Onlangs zijn de SCC’s onder de loep genomen door de Europese Commissie en vernieuwd. Organisaties kunnen een modelcontract hiervoor gebruiken, zodat ze niet zelf een contract op hoeven te stellen en er zeker van zijn dat het contract voldoet aan de AVG. Organisaties die, voor vernieuwing van de SCC’s, al een modelcontract gebruikten, hebben gemiddeld 18 maanden de tijd om de huidige contracten om te zetten naar de nieuwe vorm.
Het modelcontract bestaat uit een algemeen deel en vier modules (bron: AP), te weten:
- doorgifte van verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke;
- doorgifte van verwerkingsverantwoordelijke naar verwerker;
- doorgifte van (sub)verwerker naar (sub)verwerker;
- doorgifte van (sub)verwerker naar verwerkingsverantwoordelijke.
Wat is een Transfer Impact Assessment?
Volgens het Hof zijn modelcontracten een geldige grondslag voor doorgifte van persoonsgegevens. Dat geldt echter alleen als er een gelijkwaardig beschermingsniveau kan worden gewaarborgd. De eigenaar van de persoonsgegevens – verantwoordelijke onder de AVG – moet zich inspannen om aan te tonen dat dit niet zomaar uit de lucht gegrepen is. En juist de uitspraken in het kader van Schrems II maken het niet meer aannemelijk dat de beveiliging afdoende is, als de eigenaar alleen vertrouwt op de beloften van de leverancier.
Een praktische en verstandige methode hiervoor is via een Data Transfer Impact Assessment (DTIA of TIA). Als het ware een risicoanalyse waarbij risico’s worden beoordeeld met betrekking tot de doorgifte van persoonsgegevens naar landen die een ander beschermingsniveau kennen als wij. Dat geldt zeker voor nieuwe verwerkingen (doe de analyse dan ook voordat je gaat doorgeven), maar het is reëel om ook bestaande doorgiften te controleren.
Uit een DTIA moet blijken:
- Wat de reden is dat een organisatie gebruik maakt van een leverancier gevestigd in een derde land;
- Hoe de privacy van betrokkenen wordt geborgd.
Bij iedere overdracht van persoonsgegevens is het zaak om een dergelijke beoordeling uit te voeren. Daarbij wordt onder andere gekeken naar de wet- en regelgeving van het betreffende land waaraan gegevens worden overgedragen en naar specifieke kenmerken van de betreffende gegevensdoorgifte. Denk daarbij aan kenmerken als het aantal betrokken partijen, het type persoonsgegevens, beveiligingsaspecten, middelen en kanalen, het doel, opslag van gegevens etc.
Lees ook: Wet- en regelgeving persoonsgegevens: zijn ze goed beschermd?
Door een dergelijke risicobeoordeling uit te voeren is het mogelijk om waar nodig aanvullende maatregelen op te nemen om de veiligheid van de gegevensdoorgifte te kunnen borgen. Het meest voorkomende voorbeeld is dan encryptie.
Anderzijds kan het ook zo zijn dat uit de beoordeling blijkt dat de risico’s niet aanvaardbaar zijn en de andere partij niet geschikt blijkt om mee in zee te gaan. Ook om deze reden zijn een aantal VS-gebaseerde cloud-aanbieders bezig met het inrichten van nieuwe EU-gebaseerde wettelijke entiteiten en het vergoten van capaciteit van Europese datacenters.
Waaruit bestaat een DTIA?
Hieronder opgesomd de elementen waaruit een DTIA bestaat:
- Een omschrijving van welke persoonlijke data wordt overgedragen en hoe gevoelig die is, wat de bron is etc.
- Een omschrijving van de diensten die door de leverancier welke gevestigd is in het derde land worden aangeboden.
- Welke passende waarborgen worden getroffen?
- Welke technische, organisatorische en contractuele maatregelen worden getroffen om de veiligheid van de gegevensdoorgifte te borgen.
- De wetgeving van het land waarin de leverancier gevestigd is dient te worden bekeken. Als organisatie bepaalt men zelf of men verwacht onderwerp te zijn van bepaalde wetgeving, of dat het risico verwaarloosbaar is.
- Als dit alles in kaart is gebracht volgt de risicobeoordeling. Daarin wordt dus bepaald of het noodzakelijk is met deze leverancier te werken en of de risico’s aanvaardbaar zijn of niet.
Hulp of ondersteuning nodig?
Heb je te maken met doorgifte van persoonsgegevens aan een leverancier die gevestigd is in een land buiten de EER? En weet je niet precies welke stappen je moet ondernemen? Laat het ons gerust weten. Dit onderwerp is continu in beweging, dus bij blijven en deskundige hulp raadplegen is belangrijk. Wij helpen je graag op weg met het voldoen aan wet- en regelgeving!
