Nieuws
Aanvullende maatregelen bij internationale gegevensdoorgifte
Gepubliceerd op 16 aug. 2021
Onze mensen
Om het allemaal nog iets ingewikkelder te maken – maar uiteraard veiliger – moeten partijen naast het gebruik van een doorgifte-instrument soms ook nog aanvullende maatregelen treffen bij een internationale gegevensdoorgifte. In ons eerdere artikel over het nieuwe modelcontract gaven wij al aan dat het Europees Comité voor gegevensbescherming, de European Data Protection Board (hierna: EDPB), vrij recent haar definitieve aanbevelingen heeft gepubliceerd. In dit artikel bespreken wij deze aanbevelingen.
Waarom ook nog aanvullende maatregelen?
In het Schrems II-arrest van juli 2020 heeft het Europees Hof van Justitie (hierna: Hof) geoordeeld dat modelcontracten nog steeds een geldige grondslag kunnen bieden voor internationale gegevensdoorgifte, mits in de praktijk een gelijkwaardig beschermingsniveau kan worden geborgd. Het Hof licht toe dat het beschermingsniveau in derde landen[1] niet identiek hoeft te zijn, maar wel in grote lijnen moet overeenstemmen met het niveau in de Unie.
Doorgifte-instrumenten zoals omschreven in de Algemene Verordening Gegevensbescherming (hierna: AVG) bevatten hoofdzakelijk contractuele waarborgen tussen partijen. In de praktijk blijkt echter dat deze contractuele waarborgen in sommige gevallen niet voldoende bescherming bieden, bijvoorbeeld omdat overheidsinstanties in derde landen vergaande toegangsrechten hebben tot persoonsgegevens op basis van het nationaal recht.
Het Hof oordeelde dan ook dat de gegevensexporteur[2] per geval – en in samenwerking met de gegevensimporteur – verantwoordelijk is voor de controle van het recht en de praktijk van een derde land. Als blijkt dat het derde land tekortschiet in het beschermingsniveau, dan dienen er volgens het Hof aanvullende maatregelen te worden genomen om de leemte in de bescherming op te vullen. Op deze manier zou de gegevensbescherming op het vereiste niveau moeten worden gebracht.
Het Hof is in haar arrest verder niet ingegaan op de vraag welke aanvullende maatregelen hiervoor passend zouden zijn. De EDPB heeft op eigen initiatief besloten aanbevelingen op te stellen over de te volgen procedure voor het bepalen en vaststellen van aanvullende maatregelen. De definitieve versie van deze aanbevelingen is op 18 juni 2021 gepubliceerd.[3] Wij zullen deze procedure voor u toelichten.
Data transfer impact assessment
Naast de ‘data protection impact assessment’, ook wel de DPIA, is er nu ook de zogenoemde ‘data transfer impact assessment’ (hierna: DTIA). Om per geval te kunnen beoordelen welke aanvullende maatregelen passend zijn, kan de gegevensexporteur een DTIA uitvoeren. Het uitvoeren van een DTIA staat stapsgewijs beschreven in de aanbevelingen van de EDPB en kort gezegd beschrijft zij de volgende stappen:
- Breng uw gegevensstromen in kaart. Bij het in kaart brengen van de gegevensstromen dient u ook rekening te houden met verdere doorgiften van bijvoorbeeld verwerkers in een derde land naar subverwerkers in een (ander) derde land.
- Kies en controleer het instrument dat u voor de doorgifte wenst te gebruiken, bijvoorbeeld het nieuwe modelcontract of bindende bedrijfsvoorschriften[4]. Als persoonsgegevens worden doorgegeven naar een derde land, regio of sector waar een adequaatheidsbesluit geldt, dan hoeven er geen verdere maatregelen te worden genomen. Hierbij dient u enkel de geldigheid van het adequaatheidsbesluit in de gaten te houden.
- Beoordeel of het recht of de praktijk van het derde land afbreuk kan doen aan de doeltreffendheid van het doorgifte-instrument dat door u wordt gebruikt. Bij de beoordeling moet u zich met name richten op de relevante wetgeving van het derde land dat het beschermingsniveau zou kunnen ondermijnen, bijvoorbeeld wetgeving over toegang tot persoonsgegevens door overheidsinstanties voor surveillancedoeleinden.
- Bepaal of en welke aanvullende maatregelen nodig zijn om de doorgifte in grote lijnen op een beschermingsniveau te brengen dat overeenstemt met het niveau in de Unie. Enkele voorbeelden van technische, contractuele en organisatorische maatregelen staan opgenomen in een niet-uitputtende lijst in bijlage 2 van de aanbevelingen. Voorbeelden van maatregelen zijn pseudonimiseren, gesplitste verwerking of verwerking door meerdere partijen, aanvullende verplichtingen ten aanzien van transparantie en het opstellen van intern beleid bij een concern. In deze bijlage staat ook beschreven waaraan deze maatregelen moeten voldoen om doeltreffend te zijn. Een maatregel kan namelijk doeltreffend zijn in het ene land, maar wellicht niet in het andere.
- Bepaal formele procedurele stappen die wellicht vereist kunnen zijn voor de toepassing van een aanvullende maatregel. Het zou bijvoorbeeld kunnen zijn dat goedkeuring nodig is van de bevoegde toezichthoudende autoriteit.
- Beoordeel voortdurend de genomen aanvullende maatregelen en documenteer dit intern. In het kader van de verantwoordingsplicht is immers een voortdurende bewaking van de gegevensbescherming vereist.
Onze mensen
Heeft u vragen of wilt u een afspraak maken?
Meld je aan voor onze nieuwsbrief
Geen juridische updates missen? Maak dan een selectie uit de diverse expertises van Holla legal & tax.