Dat er heel wat komt kijken bij het verwerken en uitwisselen van persoonsgegevens is voor niemand nog een verrassing. Sinds de toepassing van de Algemene Verordening Gegevensbescherming (AVG) in 2018 hebben veel bedrijven aan den lijve ondervonden dat er inspanningen nodig zijn om aan de wetgeving te voldoen. Zo moeten ze onder andere verwerkersovereenkomsten afsluiten met derde partijen, verwerkingsregisters opstellen en bijwerken, en een datalekregister invullen wanneer er zich een incident voordoet. Dat alles kadert in de betrachting om tot een gelijk niveau van bescherming van persoonsgegevens te komen binnen de Europese Economische Ruimte (EER).
Wat met doorgifte buiten de EER?
In bepaalde gevallen kan het gebeuren dat een organisatie persoonsgegevens moet delen met partijen die zich buiten de EER bevinden. Denk maar aan gegevens die in een niet-Europese cloud-omgeving opgeslagen worden. Hierbij is de regel dat verwerkingsverantwoordelijke of gegevensexporteur enkel persoonsgegevens mag doorgeven aan partijen die een gelijkwaardig niveau van bescherming kunnen garanderen.
Om het eenvoudiger te maken, heeft de Europese Commissie een zogenaamd adequaatheidsbesluit gegeven aan 14 landen met een gelijkwaardig niveau. Bij die landen, waaronder het Verenigd Koninkrijk, Zwitserland en Japan, volstaat het om te voldoen aan de algemene bepalingen van de AVG.
Uiteraard is het mogelijk dat men doorgiftes moet doen naar landen die geen adequaatheidsbesluit verkregen. In dat geval moeten we ons baseren op contractuele afspraken én passende aanvullende technische en organisatorische maatregelen.
Een eerste middel zijn de Standard Contractual Clauses (SCCs) en Binding Corporate Rules (BCRs). Helaas worden de afspraken gemaakt tussen de verwerkingsverantwoordelijke en de verwerker, waardoor de lokale autoriteiten van het land waarnaar de gegevens verstuurd worden niet automatisch garanderen dat zij zich aan die afspraken zullen houden. Het zou zomaar kunnen dat de lokale autoriteiten van een bepaald land op een al dan niet legale manier toegang verkrijgen tot uw persoonsgegevens. Deze beperking lag aan de basis van het Schrems II arrest, waarbij het Hof van Justitie van de EU oordeelde dat het EU-US Privacy Shield niet geldig is en de huidige SCCs niet voldoende zijn voor doorgiftes van persoonsgegevens buiten de EER.
Er gelden met andere woorden bijkomende verplichtingen in de vorm van passende aanvullende maatregelen. Om te controleren of die aanvullingen al dan niet ‘passend’ zijn, moet er een Data Transfer Impact Assessment (DTIA) uitgevoerd worden voor élke vorm van doorgifte van persoonsgegevens buiten de EER.
Wat doet een DTIA?
Het DTIA beoordeelt hoe groot de kans is dat men niet aan de gemaakte contractuele afspraken kan voldoen, omdat bijvoorbeeld een lokale wetgeving dit verhindert, of een lokale autoriteit zich ongewenst toegang verschaft tot de persoonsgegevens.
Na de uitvoering van een DTIA kan men bepalen welke aanvullende maatregelen er nodig zijn om een doorgifte mogelijk te maken, of men kan ervoor kiezen om een doorgifte helemaal niet te laten doorgaan.
Hoe verloopt een DTIA?
Voor de inhoud van een DTIA beroepen we ons op de aanbevelingen die de European Data Protection Board (EDPB) gepubliceerd heeft.
In eerste instantie moet het duidelijk zijn welke gegevens onderwerp uitmaken van de doorgifte, wie hierbij betrokken is, en op welke manier de doorgifte tot stand komt.
In een volgende stap moet men bepalen op welke grond de doorgifte gebeurt, dit kan door onder andere te verwijzen naar de SCCs of BCRs.
Vervolgens beoordeelt men hoe groot de kans is dat men niet kan voldoen aan de contractuele afspraken, om gelijk welke reden dan ook.
Op basis van die uitkomsten gaat men vastleggen welke passende aanvullende maatregelen een organisatie moet nemen vooraleer een doorgifte kan plaatsvinden. Enkele voorbeelden van die maatregelen zijn end-to-end encryptie, het anonimiseren van persoonsgegevens, en beperking tot het uiterste minimum van gegevens.
Tot slot volgt de beoordeling of de doorgifte al dan niet geoorloofd is. Indien er geen gelijkwaardig niveau van bescherming kan gegarandeerd worden, is dat niet het geval en mag de doorgifte niet doorgaan. Men moet dan op zoek gaan naar alternatieven.
Daarnaast is het vereist om deze oefening periodiek opnieuw te doen om na te gaan of er intussen zaken gewijzigd zijn, zoals bijvoorbeeld de lokale wetgeving.
Een DTIA anno 2022
Er werden enkele pogingen ondernomen om een template op te maken voor het uitvoeren van DTIAs, maar deze zijn tot op heden niet sluitend. De bekendste hiervan, de ‘Rosenthal Risk Based Approach’, zit momenteel op de strafbank, omdat de Zwitserse, Franse en Oostenrijke privacytoezichthouders zich bedenkingen maken bij een systeem waarbij men met geschatte percentages werkt.
Het laatste is duidelijk nog niet gezegd over deze materie. Men is het er echter unaniem over eens dat er steeds een grondige analyse moet voorafgaan aan doorgiftes van persoonsgegevens naar landen buiten de EER.
Hoe kan spotit u helpen?
Wij adviseren u graag bij de te nemen stappen om op een veilige manier persoonsgegevens te verwerken naar het buitenland, zijnde binnen of buiten de EER. Aarzel niet ons te contacteren indien u vragen heeft of hulp kunt gebruiken bij het uitvoeren van een DTIA.