Data Transfer Impact Assessment uitvoeren bij gegevensdoorgifte buiten de EU

Wanneer je als organisatie te maken hebt met gegevensdoorgifte naar landen buiten de Europese Economische Ruimte (EER) dan ben je ongetwijfeld op de hoogte van het feit dat vorig jaar het Privacy Shield ongeldig is verklaard. Een alternatieve oplossing om aan geldende AVG-wetgeving te kunnen (blijven) voldoen is het opstellen van Standard Contractual Clauses (SCC). Deze SCC’s zijn onlangs vernieuwd en daarmee een geldige grondslag voor doorgifte van persoonsgegevens. Dat geldt echter alleen wanneer er sprake is van een gelijkwaardig beschermingsniveau. Dat kan getoetst worden met behulp van een Data Transfer Impact Assessment (DTIA of TIA). Een risicobeoordeling met betrekking tot doorgifte van persoonsgegevens naar landen buiten de EER.

Op 16 juli 2020 verklaarde het Hof van Justitie van de Europese Unie het EU-VS Privacy Shield ongeldig (de zaak Schrems II), omdat de Amerikaanse overheid persoonsgegevens onvoldoende beschermt. Gevolg: organisaties in de EU mogen geen persoonsgegevens meer doorgeven aan de VS op grond van het Privacy Shield. Wanneer dat wel gebeurt, ben je als organisatie in overtreding van de AVG/GDPR.

Doorgifte van persoonsgegevens naar een land buiten de Europese Economische Ruimte (EER) is echter wel toegestaan als daar zogenaamde ‘passende waarborgen’ voor zijn getroffen. In hoofdstuk V van de AVG-wet staat uiteengezet welke passende waarborgen een organisatie kan treffen.

Eén van de meest toegepaste waarborgen zijn ‘Standard Contractual Clauses’ (SCC). Bij veel grote IT-aanbieders uit de VS zijn dit soort SCC’s ingebakken in de contracten. Denk aan partijen als Google, Hubspot en Microsoft. Onlangs zijn de SCC’s onder de loep genomen door de Europese Commissie en vernieuwd. Organisaties kunnen een modelcontract hiervoor gebruiken, zodat ze niet zelf een contract op hoeven te stellen en er zeker van zijn dat het contract voldoet aan de AVG. Organisaties die, voor vernieuwing van de SCC’s, al een modelcontract gebruikten, hebben gemiddeld 18 maanden de tijd om de huidige contracten om te zetten naar de nieuwe vorm.

Het modelcontract bestaat uit een algemeen deel en vier modules (bron: AP), te weten:

Volgens het Hof zijn modelcontracten een geldige grondslag voor doorgifte van persoonsgegevens. Dat geldt echter alleen als er een gelijkwaardig beschermingsniveau kan worden gewaarborgd. De eigenaar van de persoonsgegevens – verantwoordelijke onder de AVG – moet zich inspannen om aan te tonen dat dit niet zomaar uit de lucht gegrepen is. En juist de uitspraken in het kader van Schrems II maken het niet meer aannemelijk dat de beveiliging afdoende is, als de eigenaar alleen vertrouwt op de beloften van de leverancier.

Een praktische en verstandige methode hiervoor is via een Data Transfer Impact Assessment (DTIA of TIA). Als het ware een risicoanalyse waarbij risico’s worden beoordeeld met betrekking tot de doorgifte van persoonsgegevens naar landen die een ander beschermingsniveau kennen als wij. Dat geldt zeker voor nieuwe verwerkingen (doe de analyse dan ook voordat je gaat doorgeven), maar het is reëel om ook bestaande doorgiften te controleren.

Uit een DTIA moet blijken:

Bij iedere overdracht van persoonsgegevens is het zaak om een dergelijke beoordeling uit te voeren. Daarbij wordt onder andere gekeken naar de wet- en regelgeving van het betreffende land waaraan gegevens worden overgedragen en naar specifieke kenmerken van de betreffende gegevensdoorgifte. Denk daarbij aan kenmerken als het aantal betrokken partijen, het type persoonsgegevens, beveiligingsaspecten, middelen en kanalen, het doel, opslag van gegevens etc.

Door een dergelijke risicobeoordeling uit te voeren is het mogelijk om waar nodig aanvullende maatregelen op te nemen om de veiligheid van de gegevensdoorgifte te kunnen borgen. Het meest voorkomende voorbeeld is dan encryptie.

Anderzijds kan het ook zo zijn dat uit de beoordeling blijkt dat de risico’s niet aanvaardbaar zijn en de andere partij niet geschikt blijkt om mee in zee te gaan. Ook om deze reden zijn een aantal VS-gebaseerde cloud-aanbieders bezig met het inrichten van nieuwe EU-gebaseerde wettelijke entiteiten en het vergoten van capaciteit van Europese datacenters.

Hieronder opgesomd de elementen waaruit een DTIA bestaat:

Heb je te maken met doorgifte van persoonsgegevens aan een leverancier die gevestigd is in een land buiten de EER? En weet je niet precies welke stappen je moet ondernemen? Laat het ons gerust weten. Dit onderwerp is continu in beweging, dus bij blijven en deskundige hulp raadplegen is belangrijk. Wij helpen je graag op weg met het voldoen aan wet- en regelgeving!