Data Transfer Impact Assessment

Sinds Schrems II is de geest uit de fles voor internationale doorgifte. Steeds meer toezichthouders buigen zich over klachten inzake internationale doorgiftes en beoordelen de betreffende doorgiftes als onrechtmatig. Denk bijvoorbeeld aan het gebruik van Google Analytics cookies dat zowel in Frankrijk, als Oostenrijk, als door de European Data Protection Supervisor onrechtmatig werd verklaard vanwege de doorgifte van persoonsgegevens naar de Verenigde Staten (VS). Denk tevens aan Cookiebot die volgens een Duitse voorzieningenrechter niet meer mag worden gebruikt vanwege hetzelfde euvel. Wat is er aan de hand?

In Schrems II is het Privacy Shield ongeldig verklaard. Daarbij zijn door het Hof van Justitie van de Europese Unie (HvJ EU) in deze zaak extra voorwaarden gesteld aan het internationaal doorgeven van persoonsgegevens i.i.g. op basis van de Standard Contractual Clauses (SSCs). Voorafgaand aan een internationale doorgifte op basis van de SCCs moet volgens het HvJ EU namelijk een zogenoemde DTIA worden uitgevoerd. Volgens de Recommendations 01/2020, waarin een nadere uitwerking is gegeven aan de Schrems II vereisten, bestaat een DTIA uit de volgende stappen:

1. Breng alle internationale doorgiftes in kaart: Aan welke landen/organisaties worden welke persoonsgegevens voor welke doeleinden doorgegeven? En, is dat noodzakelijk?
2. Breng de relevante passende waarborgen (hoofdstuk V AVG) in kaart op basis waarvan de internationale doorgifte plaatsvindt.
3. Breng de relevante (nationale) wetgeving en praktijken (zoals bevoegdheden van nationale inlichtingendiensten) in kaart die van toepassing zijn in het land waarnaar de persoonsgegevens worden doorgegeven.
4. Identificeer de benodigde aanvullende (beveiligings)maatregelen (zoals end-to-end encryptie) om het beschermingsniveau tot een gelijkwaardig niveau te brengen en pas deze toe.
5. Tref benodigde procedurele waarborgen (zoals het overeenkomen van SCCs).
6. Evalueer dit geheel periodiek.

Anders dan voor een DPIA, zijn voor een DTIA geen (vorm)vereisten vastgelegd in de AVG. Hoe u een DTIA uitwerkt en of u dit bijvoorbeeld verwerkt in een DPIA of als los assessment uitvoert is dus ook helemaal aan uw organisatie om te besluiten. Belangrijk is met name dat u de zes stappen die hierboven zijn genoemd goed en volledig uitwerkt en dit alles documenteert. Daarnaast is het advies om, net zoals bij een DPIA (let op dit is niet wettelijk verplicht gesteld), indien aangesteld een functionaris voor gegevensbescherming (FG) om advies te vragen over de DTIA.

Contractueel wordt de verplichting tot het uitvoeren van een DTIA al geborgd in de nieuwe SCCs. Hierin wordt de partij buiten de Europese Economische Ruimte (EER) die de data ontvangt, de zogenoemde ‘data importer’, verplicht om een DTIA uit te voeren voordat de doorgifte plaatsvindt. Vanaf 27 december 2022 mogen alleen de nieuwe SCCs nog in gebruik zijn en bestaat de DTIA-verplichting dus ook sowieso contractueel.

De DTIA-verplichting is tot stand gekomen als gevolg van Schrems II. De verplichting tot het uitvoeren hiervan en de wijze waarop dit dient te gebeuren is geborgd in jurisprudentie, recommendations en de nieuwe SCCs. Daarnaast vragen toezichthouders in hun onderzoeken, bijvoorbeeld naar Google Analytics, steeds vaker naar uitgevoerde DTIA’s om te oordelen of de internationale doorgifte onrechtmatig plaatsvindt. Het is dus belangrijk dat u de DTIA-verplichting een standaard onderwerp laat vormen van uw privacy processen.

Heeft u ondersteuning nodig bij het uitvoeren van DTIA’s of het inrichten van een proces hiertoe? Neem dan gerust contact op.

Michelle Wijnant, Legal Counsel IT, IE & Privacy