Privacy Shield vervangen? De cruciale rol van een Data Transfer Impact Assessment bij veilige data-overdracht
Persoonsgegevens doorgeven buiten de EU? Dan ontkom je bijna niet aan een DTIA! Lees er alles over in dit artikel.
Tobias op den Brouw is Innovatiemanager en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlHet waarborgen van de privacy en (informatie)veiligheid van persoonsgegevens bij doorgifte naar landen buiten de Europese Economische Ruimte (EER) is cruciaal voor organisaties. Een belangrijk instrument hierbij is de Data Transfer Impact Assessment (DTIA). In dit artikel bespreken we de noodzaak van een DTIA, de context van gegevensoverdracht naar de Verenigde Staten (VS) en de recente ontwikkelingen rondom het Trans-Atlantic Data Privacy Framework.
Wat is een Data Transfer Impact Assessment (DTIA)?
Een DTIA is een risicobeoordeling die organisaties uitvoeren wanneer zij persoonsgegevens willen doorgeven aan landen buiten de EER. Het doel is om te evalueren of het beschermingsniveau van persoonsgegevens in het ontvangende land adequaat is en in lijn met de Algemene Verordening Gegevensbescherming (AVG). Dit is essentieel om de rechten en vrijheden van betrokkenen te beschermen.
Achtergrond: Ongeldigheid van het EU-VS Privacy Shield
Op 16 juli 2020 verklaarde het Hof van Justitie van de Europese Unie het EU-VS Privacy Shield ongeldig in de zogenaamde Schrems II-zaak. Dit betekende dat organisaties in de EU niet langer persoonsgegevens konden doorgeven aan de VS op basis van dit mechanisme. Wanneer dat wel gebeurt, ben je als organisatie in overtreding van de AVG/GDPR.
Als gevolg moesten organisaties op zoek naar alternatieve waarborgen om gegevensoverdrachten legaal te houden. Doorgifte van persoonsgegevens naar een land buiten de Europese Economische Ruimte (EER) is namelijk wel toegestaan als daar zogenaamde ‘passende waarborgen’ voor zijn getroffen. In hoofdstuk V van de AVG-wet staat uiteengezet welke passende waarborgen een organisatie kan treffen.
Standard Contractual Clauses (SCC’s) en de rol van de DTIA
Eén van de meest toegepaste waarborgen zijn ‘Standard Contractual Clauses’ (SCC). Bij veel grote IT-aanbieders uit de VS zijn dit soort SCC’s ingebakken in de contracten. Denk aan partijen als Google, Hubspot en Microsoft. Enige tijd geleden zijn de SCC’s onder de loep genomen door de Europese Commissie en vernieuwd. Organisaties kunnen een modelcontract hiervoor gebruiken, zodat ze niet zelf een contract op hoeven te stellen en er zeker van zijn dat het contract voldoet aan de AVG. Organisaties die, voor vernieuwing van de SCC’s, al een modelcontract gebruikten, hebben gemiddeld 18 maanden de tijd om de huidige contracten om te zetten naar de nieuwe vorm.
Het modelcontract bestaat uit een algemeen deel en vier modules (bron: AP), te weten:
- doorgifte van verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke;
- doorgifte van verwerkingsverantwoordelijke naar verwerker;
- doorgifte van (sub)verwerker naar (sub)verwerker;
- doorgifte van (sub)verwerker naar verwerkingsverantwoordelijke.
Hoewel SCC’s een veelgebruikt mechanisme zijn voor gegevensoverdracht, zijn ze op zichzelf mogelijk niet voldoende. Organisaties moeten aanvullende maatregelen treffen en bijvoorbeeld een DTIA uitvoeren om te beoordelen of de gegevens in het ontvangende land voldoende beschermd zijn. Dit omvat het analyseren van de wetgeving en praktijken van het derde land om te verzekeren dat deze niet in strijd zijn met de AVG.
Het Trans-Atlantic Data Privacy Framework
In reactie op de Schrems II-uitspraak hebben de EU en de VS gewerkt aan een nieuw kader voor gegevensoverdracht: het Trans-Atlantic Data Privacy Framework. Op 10 juli 2023 heeft de Europese Commissie een adequaatheidsbesluit genomen, wat inhoudt dat de VS volgens dit nieuwe kader een passend beschermingsniveau biedt voor persoonsgegevens. Dit maakt gegevensuitwisseling tussen de EU en de VS weer mogelijk zonder aanvullende waarborgen.
Safe Harbor en Privacy Shield
“Sinds een EU-wet uit 1995 mogen persoonsgegevens over het algemeen niet buiten de EU worden verstuurd, tenzij er een ‘wezenlijk gelijkwaardige’ bescherming is in het land van bestemming. De Amerikaanse industrie leunde zwaar op een besluit van de EC, genaamd ‘Safe Harbor’, dat de VS in 2000 ‘in wezen gelijkwaardig’ verklaarde. Het Hof van Justitie heeft het besluit in 2015 nietig verklaard (Schrems I), gezien de invasieve Amerikaanse surveillancewetten. In 2016 heeft de EC grotendeels hetzelfde besluit over de EU-US gegevensdoorgifte opnieuw aangenomen onder de naam ‘Privacy Shield’, dat in 2020 door het Hof ongeldig is verklaard (Schrems II), grotendeels op dezelfde gronden.” (Bron: noyb.eu)
Ondanks deze positieve ontwikkeling is het belangrijk voor organisaties om waakzaam te blijven. Eerdere kaders, zoals Safe Harbor en Privacy Shield, zijn in het verleden ongeldig verklaard. Daarom blijft het uitvoeren van een grondige DTIA essentieel bij gegevensoverdracht naar de VS en andere derde landen. Dit helpt organisaties om te verzekeren dat zij voldoen aan de AVG en de privacyrechten van betrokkenen beschermen.
Uitvoeren Data Transfer Impact Assessment is cruciaal!
Volgens het Hof zijn modelcontracten een geldige grondslag voor doorgifte van persoonsgegevens. Dat geldt echter alleen als er een gelijkwaardig beschermingsniveau kan worden gewaarborgd. De eigenaar van de persoonsgegevens – verantwoordelijke onder de AVG – moet zich inspannen om aan te tonen dat dit niet zomaar uit de lucht gegrepen is. En juist de uitspraken in het kader van Schrems II maken het niet meer aannemelijk dat de beveiliging afdoende is, als de eigenaar alleen vertrouwt op de beloften van de leverancier.
“CAN voelde als verlengstuk van ons team.”
Martijn Stuart – Infield ICT
Het uitvoeren van een Data Transfer Impact Assessment is een cruciale stap voor organisaties die persoonsgegevens willen overdragen naar landen buiten de EER. Met de recente ontwikkelingen rondom het Trans-Atlantic Data Privacy Framework is er meer duidelijkheid gekomen over gegevensoverdracht naar de VS. Toch blijft het van groot belang dat organisaties zorgvuldig te werk gaan en de nodige assessments uitvoeren om de privacy en veiligheid van persoonsgegevens te waarborgen.
Een praktische en verstandige methode hiervoor is via een Data Transfer Impact Assessment (DTIA of TIA). Als het ware een risicoanalyse waarbij risico’s worden beoordeeld met betrekking tot de doorgifte van persoonsgegevens naar landen die een ander beschermingsniveau kennen als wij. Dat geldt zeker voor nieuwe verwerkingen (doe de analyse dan ook voordat je gaat doorgeven), maar het is reëel om ook bestaande doorgiften te controleren.
Uit een DTIA moet blijken:
- Wat de reden is dat een organisatie gebruik maakt van een leverancier gevestigd in een derde land;
- Hoe de privacy van betrokkenen wordt geborgd.
Bij iedere overdracht van persoonsgegevens is het zaak om een dergelijke beoordeling uit te voeren. Daarbij wordt onder andere gekeken naar de wet- en regelgeving van het betreffende land waaraan gegevens worden overgedragen en naar specifieke kenmerken van de betreffende gegevensdoorgifte. Denk daarbij aan kenmerken als het aantal betrokken partijen, het type persoonsgegevens, beveiligingsaspecten, middelen en kanalen, het doel, opslag van gegevens etc.
Waaruit bestaat een DTIA?
Hieronder opgesomd de elementen waaruit een DTIA bestaat:
- Een omschrijving van welke persoonlijke data wordt overgedragen en hoe gevoelig die is, wat de bron is etc.
- Een omschrijving van de diensten die door de leverancier welke gevestigd is in het derde land worden aangeboden.
- Welke passende waarborgen worden getroffen?
- Welke technische, organisatorische en contractuele maatregelen worden getroffen om de veiligheid van de gegevensdoorgifte te borgen.
- De wetgeving van het land waarin de leverancier gevestigd is dient te worden bekeken. Als organisatie bepaalt men zelf of men verwacht onderwerp te zijn van bepaalde wetgeving, of dat het risico verwaarloosbaar is.
- Als dit alles in kaart is gebracht volgt de risicobeoordeling. Daarin wordt dus bepaald of het noodzakelijk is met deze leverancier te werken en of de risico’s aanvaardbaar zijn of niet.
Door een dergelijke risicobeoordeling uit te voeren is het mogelijk om waar nodig aanvullende maatregelen op te nemen om de veiligheid van de gegevensdoorgifte te kunnen borgen. Het meest voorkomende voorbeeld is dan encryptie.
Anderzijds kan het ook zo zijn dat uit de beoordeling blijkt dat de risico’s niet aanvaardbaar zijn en de andere partij niet geschikt blijkt om mee in zee te gaan. Ook om deze reden zijn een aantal VS-gebaseerde cloud-aanbieders bezig met het inrichten van nieuwe EU-gebaseerde wettelijke entiteiten en het vergoten van capaciteit van Europese datacenters.
Advies of ondersteuning nodig?
Wil je een DTIA uitvoeren of heb je (aanvullend) advies of ondersteuning nodig om privacy en (informatie)veiligheid van persoonsgegevens bij doorgifte naar landen buiten de Europese Economische Ruimte (EER) te waarborgen? Neem gerust contact met ons op. Wij helpen je graag verder!
Tobias op den Brouw is Innovatiemanager en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nl
Direct veilig en compliant werken?
Ga aan de slag met ISO 27001!
- Verlaag direct je risico's
- Voldoe aan eisen en de wet
- Vrijblijvende offerte op maat
