Aanvullende maatregelen bij internationale gegevensdoorgifte

Om het allemaal nog iets ingewikkelder te maken – maar uiteraard veiliger – moeten partijen naast het gebruik van een doorgifte-instrument soms ook nog aanvullende maatregelen treffen bij een internationale gegevensdoorgifte. In ons eerdere artikel over het nieuwe modelcontract gaven wij al aan dat het Europees Comité voor gegevensbescherming, de European Data Protection Board (hierna: EDPB), vrij recent haar definitieve aanbevelingen heeft gepubliceerd. In dit artikel bespreken wij deze aanbevelingen.

Waarom ook nog aanvullende maatregelen?

In het Schrems II-arrest van juli 2020 heeft het Europees Hof van Justitie (hierna: Hof) geoordeeld dat modelcontracten nog steeds een geldige grondslag kunnen bieden voor internationale gegevensdoorgifte, mits in de praktijk een gelijkwaardig beschermingsniveau kan worden geborgd. Het Hof licht toe dat het beschermingsniveau in derde landen[1] niet identiek hoeft te zijn, maar wel in grote lijnen moet overeenstemmen met het niveau in de Unie.

Doorgifte-instrumenten zoals omschreven in de Algemene Verordening Gegevensbescherming (hierna: AVG) bevatten hoofdzakelijk contractuele waarborgen tussen partijen. In de praktijk blijkt echter dat deze contractuele waarborgen in sommige gevallen niet voldoende bescherming bieden, bijvoorbeeld omdat overheidsinstanties in derde landen vergaande toegangsrechten hebben tot persoonsgegevens op basis van het nationaal recht.

Het Hof oordeelde dan ook dat de gegevensexporteur[2] per geval – en in samenwerking met de gegevensimporteur – verantwoordelijk is voor de controle van het recht en de praktijk van een derde land. Als blijkt dat het derde land tekortschiet in het beschermingsniveau, dan dienen er volgens het Hof aanvullende maatregelen te worden genomen om de leemte in de bescherming op te vullen. Op deze manier zou de gegevensbescherming op het vereiste niveau moeten worden gebracht.

Het Hof is in haar arrest verder niet ingegaan op de vraag welke aanvullende maatregelen hiervoor passend zouden zijn. De EDPB heeft op eigen initiatief besloten aanbevelingen op te stellen over de te volgen procedure voor het bepalen en vaststellen van aanvullende maatregelen. De definitieve versie van deze aanbevelingen is op 18 juni 2021 gepubliceerd.[3] Wij zullen deze procedure voor u toelichten.

Data transfer impact assessment

Naast de ‘data protection impact assessment’, ook wel de DPIA, is er nu ook de zogenoemde ‘data transfer impact assessment’ (hierna: DTIA). Om per geval te kunnen beoordelen welke aanvullende maatregelen passend zijn, kan de gegevensexporteur een DTIA uitvoeren. Het uitvoeren van een DTIA staat stapsgewijs beschreven in de aanbevelingen van de EDPB en kort gezegd beschrijft zij de volgende stappen:

  1. Breng uw gegevensstromen in kaart. Bij het in kaart brengen van de gegevensstromen dient u ook rekening te houden met verdere doorgiften van bijvoorbeeld verwerkers in een derde land naar subverwerkers in een (ander) derde land.
  1. Kies en controleer het instrument dat u voor de doorgifte wenst te gebruiken, bijvoorbeeld het nieuwe modelcontract of bindende bedrijfsvoorschriften[4]. Als persoonsgegevens worden doorgegeven naar een derde land, regio of sector waar een adequaatheidsbesluit geldt, dan hoeven er geen verdere maatregelen te worden genomen. Hierbij dient u enkel de geldigheid van het adequaatheidsbesluit in de gaten te houden.
  1. Beoordeel of het recht of de praktijk van het derde land afbreuk kan doen aan de doeltreffendheid van het doorgifte-instrument dat door u wordt gebruikt. Bij de beoordeling moet u zich met name richten op de relevante wetgeving van het derde land dat het beschermingsniveau zou kunnen ondermijnen, bijvoorbeeld wetgeving over toegang tot persoonsgegevens door overheidsinstanties voor surveillancedoeleinden.
  1. Bepaal of en welke aanvullende maatregelen nodig zijn om de doorgifte in grote lijnen op een beschermingsniveau te brengen dat overeenstemt met het niveau in de Unie. Enkele voorbeelden van technische, contractuele en organisatorische maatregelen staan opgenomen in een niet-uitputtende lijst in bijlage 2 van de aanbevelingen. Voorbeelden van maatregelen zijn pseudonimiseren, gesplitste verwerking of verwerking door meerdere partijen, aanvullende verplichtingen ten aanzien van transparantie en het opstellen van intern beleid bij een concern. In deze bijlage staat ook beschreven waaraan deze maatregelen moeten voldoen om doeltreffend te zijn. Een maatregel kan namelijk doeltreffend zijn in het ene land, maar wellicht niet in het andere.
  1. Bepaal formele procedurele stappen die wellicht vereist kunnen zijn voor de toepassing van een aanvullende maatregel. Het zou bijvoorbeeld kunnen zijn dat goedkeuring nodig is van de bevoegde toezichthoudende autoriteit.
  1. Beoordeel voortdurend de genomen aanvullende maatregelen en documenteer dit intern. In het kader van de verantwoordingsplicht is immers een voortdurende bewaking van de gegevensbescherming vereist.

Voor meer informatie over de voorgaande stappen verwijzen wij naar de definitieve versie van de aanbevelingen.

Onze analyse met betrekking tot de aanbevelingen

Uiteraard juichen wij het toe dat de EDPB op eigen initiatief een procedure heeft opgesteld voor het bepalen en vaststellen van aanvullende maatregelen. Dit biedt enigszins houvast voor de praktijk. De vraag is echter of het haalbaar is deze procedure in de praktijk (geheel) toe te passen.

Ten eerste merken wij namelijk op dat de derde stap een vrij ingewikkelde stap is voor een gegevensexporteur om zelfstandig uit te voeren. In bijlage 3 van de aanbevelingen staan dan wel relevante bronnen genoemd die kunnen worden gebruikt bij de beoordeling, maar het gebruik van deze bronnen en de toetsing van de eventueel gevonden informatie lijkt ons een lastige taak voor een gegevensexporteur. Waar het beoordelen van het recht en de praktijk van een derde land in eerste instantie een specifieke taak is van de Europese Commissie in het kader van de adequaatheidsbesluiten, wordt dit nu ‘simpelweg’ neergelegd bij de gegevensexporteur.

Ten tweede merken wij op dat de gegevensexporteur veel verantwoordelijkheden krijgt bij het uitvoeren van de DTIA. Zo moet de gegevensexporteur niet alleen het recht en de praktijk van het derde land beoordelen, maar ook bepalen welke aanvullende maatregelen eventueel moeten worden genomen en deze ook (voortdurend) toetsen op de doeltreffendheid. Wij vragen ons af of dit voor iedere gegevensexporteur haalbaar is. Uiteraard helpen wij uw organisatie hier graag verder bij.

Heeft u vragen over de aanbevelingen, de DTIA of de aanvullende maatregelen? Neem dan contact op met Femmie SchetsKim de Bonth, of met één van de andere medewerkers van de Business Unit Privacy, ICT en Intellectuele Eigendom.

 

[1] Derde landen zijn alle landen buiten de Europese Unie, met uitzondering van de landen in de Europese Economische Ruimte. Dit betreffen de landen Noorwegen, Liechtenstein en IJsland. Deze drie landen vallen binnen de Europese Economische Ruimte en kennen een gelijkwaardig niveau van gegevensbescherming (zie hier).

[2] De verwerkingsverantwoordelijke of de (sub)verwerker die de persoonsgegevens doorgeeft vanuit de Europese Unie wordt doorgaans ook wel de ‘gegevensexporteur’ genoemd en de verwerkingsverantwoordelijke of de (sub)verwerker die de persoonsgegevens ontvangt in het derde land de ‘gegevensimporteur’.

[3] Let op: de Nederlandse vertaling is nog niet officieel.

[4] Een bindend bedrijfsvoorschrift is een beleid dat kan gelden binnen een concern of een groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen voor de doorgifte van persoonsgegevens naar derde landen.

Heeft u vragen of wilt u een afspraak maken?