Data Transfer Impact Assessment: weer een nieuw begrip!

Nee, in deze blog gaan we het niet weer hebben over het Privacy Shield. Dat weten we inmiddels wel. Persoonsgegevens kunnen doorgegeven worden aan leveranciers uit de Verenigde Staten, en andere derde landen, op basis van de nieuwe Standard Contractual Clauses (SCC’s). Maar dan ben je er nog niet. Er zal ook een Data Transfer Impact Assessment uitgevoerd moeten worden. “Een wat?” denk je misschien, wat dat is leggen we uit in deze blog.

Passende waarborgen

Persoonsgegevens mogen worden doorgegeven naar een land buiten de Europese Economische Ruimte (EER) als daar passende waarborgen voor zijn getroffen. Welke passende waarborgen organisaties kunnen treffen volgt uit hoofdstuk V van de Algemene verordening gegevensbescherming (AVG).

Een van de meest gebruikte passende waarborgen is het sluiten van de SCC’s. Onlangs zijn de SCC’s vernieuwd. Voortaan kunnen de SCC’s in onderstaande gevallen gesloten worden:

  1. Verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke
  2. Verwerkingsverantwoordelijke naar verwerker
  3. (Sub)verwerker naar (sub)verwerker
  4. (Sub)verwerker naar verwerkingsverantwoordelijke

De Europese Commissie heeft de verschillende sets in één lang document gepubliceerd, dat organisaties zelf op maat dienen te maken. Dat is niet zo handig. Daarom hebben we met onze zusterorganisatie JuriBlox een tool ontwikkeld, waarmee je zelf de juiste SCC’s kunt genereren, met zowel een Nederlandse als een Engelse vragenlijst (de SCC’s zelf zijn altijd in het Engels). Helemaal gratis!

Risicoanalyse voor doorgifte van persoonsgegevens

Met het sluiten van de SCC’s ben je er nog niet. Per doorgifte zal een risicoanalyse gedaan moeten worden: een contractuele afspraak is niet meer voldoende, vooral niet als de wetgeving in het ontvangende land niet beschermend genoeg is. Dit wordt ook wel de Data Transfer Impact Assessment (DTIA) genoemd. Uit de DTIA moet volgen waarom de organisatie gebruik maakt van een leverancier die gevestigd is in een derde land, en op welke wijze ervoor wordt gezorgd dat de privacy van betrokkenen wordt gewaarborgd.

Welke onderwerpen komen aan bod in de DTIA?

Dienstverlening

De DTIA moet een omschrijving bevatten van de diensten die worden aangeboden door de leverancier die gevestigd is in een derde land. Gaat het bijvoorbeeld om een hostingprovider, softwareleverancier of marketingpartij? Wordt er support geleverd vanuit een derde land of is het misschien mogelijk om aan de hand van een bepaalde tool nieuwsbrieven te versturen?  

Passende waarborgen

Welke passende waarborgen worden getroffen? Denk aan het sluiten van de SCC’s of wellicht worden persoonsgegevens doorgegeven op basis van Binding Corporate Rules.

Technische, organisatorische en contractuele maatregelen

Niet geheel onbelangrijk is natuurlijk welke maatregelen er worden getroffen om persoonsgegevens te beschermen, aanvullend op de SCC’s. Denk aan dataminimalisatie, encryptie en het pseudonimiseren of misschien wel anonimiseren van persoonsgegevens. Een andere maatregel is dat partijen contractueel afspreken dat persoonsgegevens binnen de EER worden gehost.

Wetgeving in het ontvangende land

Om tot een gedegen DTIA te komen is het van belang dat de nationale wetgeving van het land van de leverancier wordt bekeken. Het is vrijwel onmogelijk om kennis te hebben van alle wet- en regelgeving. Als je gebruik maakt van een Amerikaanse leverancier dan speelt bijvoorbeeld de Foreign Intelligence Surveillance Act (FISA) een belangrijke rol. Elke ICT-dienstverlener die gevestigd is in de VS, is gebonden aan de FISA. In een van de bepalingen is opgenomen dat een speciale rechtbank een bevel kan geven tot surveillance. Naast de FISA staan in de USA Freedom Act ook allerlei bepalingen inzake surveillance.

Elke organisatie dient zelf te bepalen of zij verwacht onderwerp te zijn van deze wetgeving, of dat dat risico verwaarloosbaar is. Het Amerikaanse Ministerie van Handel heeft bijvoorbeeld wel aangegeven dat veruit de meeste commerciële doorgiften van persoonsgegevens naar de VS niet van belang zijn voor de Amerikaanse inlichtingen- en veiligheidsdiensten.

Risicobeoordeling

Uiteindelijk volgt er een risicobeoordeling. Is de inzet van bijvoorbeeld een Amerikaanse leverancier noodzakelijk? Of kan er gebruik worden gemaakt van een partij die in Europa of misschien zelfs wel in Nederland gevestigd is? Welke risico’s spelen er in het derde land en zijn die risico’s aanvaardbaar?

Hulp nodig met het uitvoeren van een Data Transfer Impact Assessment? Laat het ons weten!

Click me

Terug naar overzicht