Een wat? Een DTIA
De afkorting DPIA wordt steeds bekender, maar de term DTIA (Data Transfer Impact Assessment) is een relatieve nieuwkomer op het gebied van het privacyrecht. De opkomst van de DTIA is één van de minder bekende gevolgen van de Schrems II omtrent de doorgifte van persoonsgegevens buiten de EU/EER. Wat moeten we hiermee?
Passend beschermingsniveau.
Doorgifte van persoonsgegevens aan een derde land of organisatie is alleen mogelijk wanneer het derde land een passend beschermingsniveau biedt. Voor een aantal landen heeft de Europese commissie daarom een adequaatheidsbesluit genomen. Daarmee geeft de commissie aan dat dit land of sector een passend beschermingsniveau van persoonsgegevens waarborgt volgens art 45 van de AVG. En dat men persoonsgegevens vrij kan uitwisselen met organisaties die in deze landen zijn gevestigd.
Schrems II
De Schrems II – uitspraak van het Hof van Justitie in 2020 heeft behoorlijk wat roet in het eten gegooid en de doorgifte van persoonsgegevens onder het EU-VS Privacy-Shield ongeldig verklaard. Hierdoor is het adequaatheidsbesluit niet meer van toepassing op de Verenigde Staten en is er dus geen sprake meer van een passend beschermingsniveau. Veel populaire clouddiensten die we tegenwoordig dagelijks gebruiken hebben hun hoofdvestiging in de VS waardoor er sprake is van een doorgifte van persoonsgegevens aan de VS. Om deze doorgifte rechtmatig te laten verlopen moet men voortaan dus gebruik maken van andere passende waarborgen.
Standard Contractual Clauses (SCC’s)
Een van de meest gebruikte passende waarborgen is het sluiten van een Standard Contractual Clauses (SCC’s). Er is echter een probleem met het gebruik van de SCC’s. Door de contractuele aard zijn deze modelcontractbepalingen namelijk niet ongevoelig voor de wetgeving van een derde land. Vooral de FISA (Foreign Intelligence Surveillance Act) lijkt de privacybescherming van de AVG onderuit te halen. Amerikaanse aanbieders moeten namelijk op verzoek van de Amerikaanse overheid persoonsgegevens verstrekken. Het simpelweg ondertekenen van SCC’s is niet meer voldoende.
DTIA
Er zal daarom voorafgaand aan de doorgifte buiten de EU/EER van persoonsgegevens een DTIA oftewel risicoanalyse moeten plaatsvinden. U zult hierin voldoende moeten onderbouwen waarom u als organisatie gebruik maakt van de leverancier in een derde land, en op welke wijze ervoor wordt gezorgd dat de privacy van betrokkenen wordt gewaarborgd. Volgens de Recommendations 01/2020 van de EDPB, bestaat een DTIA uit de volgende stappen:
- Aan welke landen/organisaties worden welke persoonsgegevens voor welke doeleinden doorgegeven? En is dat noodzakelijk?
- Breng de relevante (nationale) wetgeving en praktijken (zoals bevoegdheden van nationale inlichtingendiensten) in kaart die van toepassing zijn in het land waarnaar de persoonsgegevens worden doorgegeven.
- Identificeer de benodigde aanvullende (beveiligings-)maatregelen (zoals end-to-end encryptie) om het beschermingsniveau tot een gelijkwaardig niveau te brengen en pas deze toe.
- Tref benodigde procedurele waarborgen (zoals het overeenkomen van SCC’s).
Uiteindelijk volgt er een risicobeoordeling. Kortom, het is zeer verstandig om na te gaan of een DTIA noodzakelijk is alvorens over te gaan tot een doorgifte van persoonsgegevens buiten de EU/EER en om deze ook daadwerkelijk uit te voeren en te documenteren.
Advies
Heeft u ondersteuning nodig bij het uitvoeren van DTIA’s? De privacy specialisten van PrivacyTeam zijn altijd op de hoogte van de huidige regelgeving en helpen u graag.