Werk aan de winkel: de Data Transfer Impact Assessment.

June 14, 2022

Maximilian Schrems heeft in de afgelopen jaren flink wat stof doen opwaaien met zijn rechtszaken bij het Europese Hof van Justitie (Schrems-I en Schrems-II). Dit heeft onder andere tot gevolg gehad dat de International Safe Harbor Privacy Principles en het Privacy Shield ongeldig werden verklaard. In deze blog wordt echter ingegaan op een ander gevolg van de Schrems-arresten, om precies te zijn het Schrems-II arrest: de geboorte van de DTIA, de Data Transfer Impact Assessment.


Een korte terugblik

Binnen de Europese Economische Ruimte (EER) is met de invoering van de Algemene Verordening Gegevensbescherming (AVG) een gelijk niveau van bescherming van persoonsgegevens tot stand gebracht. Hoewel steeds meer landen buiten de EER langzamerhand een soortgelijk niveau van bescherming bieden, kan de vraag opgeworpen worden wat er met persoonsgegevens gebeurt wanneer deze de fysieke grenzen van de EER ‘oversteken’. In het Schrems II-arrest gaf het Europese Hof van Justitie (Hof) een antwoord op deze vraag: de bescherming die in de EER aan persoonsgegevens wordt geboden moet meereizen met de gegevens, ongeacht de bestemming. Het Hof maakte verder duidelijk dat dit niet noodzakelijk inhoudt dat exact hetzelfde niveau van bescherming moet worden geboden, maar dat op zijn minst sprake moet zijn van een “in wezen gelijkwaardig niveau van bescherming” (Engels: “an essentially equivalent level of protection”). Er zijn een aantal manieren waarop verwerkingsverantwoordelijken een dergelijk niveau van bescherming kunnen bieden.


Een in wezen gelijkwaardig niveau van bescherming

De eerste manier waarop verwerkingsverantwoordelijken het juiste niveau van bescherming kunnen garanderen is door persoonsgegevens enkel te exporteren naar landen waarvoor de Europese Commissie een adequaatheidsbesluit heeft afgegeven op basis van Artikel 45 AVG. Op basis van zo’n besluit kan een verwerkingsverantwoordelijke zonder meer persoonsgegevens exporteren naar een land buiten de EER. Momenteel zijn er slechts 14 landen met zo’n adequaatheidsbesluit. In veel gevallen zal dus naar andere garanties gezocht moeten worden wanneer een data transfer naar een land buiten de EER plaatsvindt.


Gelukkig biedt de AVG ook hier een oplossing: Artikel 46. Er zijn namelijk bepaalde contractuele afspraken die een data exporteur en -importeur kunnen maken om een in wezen gelijkwaardig niveau van bescherming te garanderen. De bekendste hiervan zijn de door de Europese Commissie vastgestelde Standard Contractual Clauses (SCCs), maar ook Binding Corporate Rules (BCRs), codes of conduct, certification mechanisms en ad-hoc contractual clauses kunnen garanties bieden. Er is echter een probleem met deze afspraken: het feit dat ze contractueel van aard zijn. Dit betekent dat de afspraken alleen tussen de data exporteur en -importeur gelden; de lokale autoriteiten in het land van de data importeur worden hier dus niet door gebonden en dat levert drie risico’s op voor het niveau van bescherming:

  • Ten eerste kan de wet- en regelgeving in het land van de importeur verhinderen dat partijen hun contractuele afspreken nakomen;
  • Ten tweede is het mogelijk dat lokale wet- en regelgeving voorkomt dat persoonsgegevens worden verwijderd of teruggestuurd vanuit het importerende land na afloop van het contract;
  • Het derde risico stond aan de basis van de rechtszaken van mr. Schrems: de mogelijkheid dat lokale autoriteiten op (il)legitieme wijze toegang tot de geïmporteerde persoonsgegevens eisen.


Hoe nu verder? Moeten we dan maar geen persoonsgegevens exporteren naar landen zonder adequaatheidsbesluit? Zoals je misschien wel kunt bedenken is dat in de wereld van vandaag nagenoeg onmogelijk. Gelukkig heeft het Hof in de Schrems-II zaak ook een oplossing bedacht: data exporteurs die gebruikmaken van een Artikel 46 mechanisme moeten daarnaast “passende aanvullende maatregelen” (Engels: “appropriate supplementary measures”) treffen. “Maar wat zijn dat dan?” hoor ik je al vragen. Nou, ook die vraag heeft het Hof beantwoordt!


Om te bepalen wat passende aanvullende maatregelen zijn om een in wezen gelijkwaardig niveau van bescherming te bieden moet een data exporteur, in samenwerking met de -importeur, een Data Transfer Impact Assessment (DTIA) uitvoeren.


Data Transfer Impact Assessments


In essentie is een DTIA, net als een Data Protection Impact Assessment (DPIA), niets meer en niets minder dan een risicoanalyse. Om precies te zijn moet er beoordeeld worden hoe groot de kans is dat de drie bovengenoemde risico’s zich voordoen. Op basis daarvan kan vervolgens bepaald worden welke aanvullende maatregelen in een specifiek geval passend zijn om die risico’s in te perken en een in wezen gelijkwaardig beschermingsniveau te garanderen.

De DTIA is een relatief nieuw instrument in de gereedschapskist van privacy professionals en er bestaat dan ook nog geen vastomlijnd format. Hoewel de door Rosenthal opgestelde formats veelbelovend leken en zijn onderschreven door de IAPP, hebben de Franse, Oostenrijkse en Zwitserse toezichthouders daar inmiddels een bommetje ondergelegd (althans, onder de risico gestuurde benadering in die modellen).

In tegensteling tot de DPIA, waaraan eisen worden gesteld in Artikel 35 lid 3 AVG, wordt de DTIA niet als instrument genoemd in de AVG. Wel kan in Artikel 14 van de door de Commissie vastgestelde SCCs impliciet een verplichting tot het uitvoeren van een DTIA gelezen worden. Verder zijn we voorlopig aangewezen op aanbevelingen van de European Data Protection Board (EDPB) voor het uitvoeren van een DTIA. Uit deze aanbevelingen kunnen de vijf belangrijkste onderdelen van een DTIA afgeleid worden:

  1. Het in kaart brengen van de data transfer. In dit onderdeel wordt de context van de data transfer geschetst door enerzijds te kijken naar de data transfer zelf: welke gegevens worden doorgegeven en van wie zijn deze gegevens afkomstig, op welke wijze worden de gegevens doorgegeven, naar welke ontvangers, etc. Anderzijds moet in kaart gebracht worden welke wetgeving in het ontvangende land van toepassing zou kunnen zijn op de overgedragen data.
  2. Het identificeren van het Artikel 46 doorgifte-instrument. In dit onderdeel moet opgenomen worden op basis van welke contractuele waarborgen (SCCs, BCRs, codes of conduct, etc.) de data transfer plaatsvindt.
  3. Een beoordeling van de effectiviteit van het geïdentificeerde doorgifte-instrument. De besproken risicoanalyse vindt in dit onderdeel van de DTIA plaats. Hier wordt namelijk beoordeeld wat de kans is dat de wetgeving in het importerende land de garanties van het Artikel 46 doorgifte-instrument ondermijnt. Er moet voor elke relevante wet worden nagegaan wat de kans is dat op basis daarvan het niveau van bescherming wordt ondermijnd. Invulling geven aan dit onderdeel vereist nauwe samenwerking met de data importeur aangezien die een beter beeld zal hebben van de lokale wetgeving. Sterker nog, op grond van Artikel 14 sub c van de SCCs is de data importeur zelfs verplicht om informatie aan te leveren met betrekking tot de lokale wetgeving.
  4. De vaststelling van passende aanvullende maatregelen. Op basis van de in kaart gebrachte risico’s moet in dit onderdeel bepaald worden welke passende aanvullende maatregelen getroffen moeten worden om een in wezen gelijkwaardig niveau van bescherming te garanderen. Denk hierbij aan maatregelen als pseudonimisering, encryptie of het gebruik van een data importeur die specifiek wordt beschermd door lokale wetgeving (zoals advocaten of notarissen).
  5. De beoordeling of de data transfer plaats kan vinden of niet. De laatste stap is om te beoordelen of op basis van de eerdere bevindingen gegarandeerd kan worden dat de over te dragen persoonsgegevens een in wezen gelijkwaardig niveau van bescherming genieten. Als dat niet het geval is, moet geconcludeerd worden dat de data transfer niet mag plaatsvinden. Zijn er passende aanvullende maatregelen geïdentificeerd die dat niveau van bescherming wel kunnen garanderen, dan mag de data transfer wel plaatsvinden.


Na afronding van de DTIA is het zaak om periodiek de ontwikkelingen in het importerende land in de gaten te houden om te zien of er iets verandert in de lokale wetgeving wat de bevindingen van de DTIA zou kunnen veranderen. Ook hierin is een rol weggelegd voor de data importeur.


Een korte blik vooruit

Met de geboorte van de DTIA is er een hoop werk bijgekomen voor overheden en organisaties die structureel gegevens overdragen naar landen zonder adequaatheidsbesluit, zoals de Verenigde Staten. Hoewel de vervanger van het Privacy Shield in de maak is, is het maar de vraag hoe lang deze stand zal houden. Daarnaast zijn er wereldwijd natuurlijk meer landen zónder adequaatheidsbesluit dan met. Gezien de complexiteit van het uitvoeren van een DTIA zal de vraag naar hulp daarbij de komende jaren dan ook sterk toenemen. Privacy Company heeft op dit gebied, met de DTIA voor de Rijksoverheid naar het gebruik van Microsoft Teams, Sharepoint en Onedrive, al enige ervaring opgedaan. Wij hopen ook in de toekomst ons steentje bij te dragen op dit gebied en zo de wereld een stukje privacyvriendelijker te maken.

Download
Evan
Adviseur