Op 16 juli 2020 verklaarde het Europese Hof het EU-VS privacy shield ongeldig, omdat de Amerikaanse overheid persoonsgegevens onvoldoende beschermt. Daardoor mogen bedrijven niet zomaar persoonsgegevens meer doorgeven vanuit de EU naar de VS. Volgens het Hof kunnen modelcontracten (Standard Contractual Clauses) wel een geldige grondslag bieden voor doorgifte van gegevens naar landen buiten de EU. Maar alleen als in de praktijk een gelijkwaardig beschermingsniveau kan worden gewaarborgd. Hiervoor moet eerst een Data Transfer Impact Assessment worden uitgevoerd. Wat houdt een Data Transfer Impact Assessment in? En hoe kan deze worden uitgevoerd?
Doorgifte op basis van Standard Contractual Clauses
Een doorgifte van persoonsgegevens naar een derde land mag alleen plaatsvinden indien daarvoor passende waarborgen worden geboden. Die waarborgen kunnen worden geboden door gebruik te maken van een modelcontract dat is goedgekeurd door de Europese Commissie: Standard Contractual Clauses (SCC). Deze bevatten bepalingen die passende waarborgen bieden, onder andere door de plichten en aansprakelijkheden van partijen vast te leggen.
De Europese Commissie heeft onlangs een nieuw modelcontract goedgekeurd dat bedrijven kunnen gebruiken voor de doorgifte van persoonsgegevens vanuit de EU naar landen daarbuiten. Het nieuwe modelcontract houdt rekening met de uitspraak in de zaak Schrems II. Het modelcontract bevat onder meer een overzicht van de stappen die bedrijven moeten nemen om te voldoen aan de AVG. Naast gebruikmaking van de SCC, moet het betreffende derde land een gelijkwaardig beschermingsniveau kennen. Dit is niet het geval indien de ontvanger in het derde land zijn verplichtingen uit de SCC niet kan nakomen als gevolg van wetgeving van het derde land. Alleen het sluiten van de SCC is dus niet meer voldoende. Bedrijven die persoonsgegevens doorgeven naar landen buiten de EU, moeten per doorgifte een risicoanalyse uitvoeren. Dit wordt ook wel een Data Transfer Impact Assessment genoemd.
Hoe wordt een Data Transfer Impact Assessment uitgevoerd?
In een Data Transfer Impact Assessment beoordelen partijen of er redenen zijn om aan te nemen dat de wetten en praktijken in het derde land van bestemming de ontvanger verhinderen zijn verplichtingen uit de SCC na te komen. Het gaat hier ook om wetgeving die de ontvanger verplicht om persoonsgegevens te verstrekken. Of wetgeving die toegang door overheidsinstanties toestaat. Om deze beoordeling te kunnen maken dienen de volgende onderwerpen in de risicoanalyse aan bod te komen:
- de specifieke omstandigheden van de doorgifte. Waaronder de lengte van de verwerkingsketen en het aantal betrokken actoren en de kanalen die voor de toezending zijn gebruikt en de voorgenomen verdere doorgiften. Andere omstandigheden zijn het soort ontvanger, het doel van de verwerking en de categorieën van persoonsgegevens. Van belang is tot slot het aantal persoonsgegevens, de economische sector waarin de doorgifte plaatsvindt en de locatie waar de doorgegeven zijn opgeslagen.
- de wetten en praktijken van het derde land van bestemming. Waaronder de wetten en praktijken die vereisen om gegevens aan overheidsinstanties te verstrekken. Of wetten en praktijken die toegang door dergelijke instanties toestaan.
- de contractuele, technische of organisatorische waarborgen die zijn ingesteld in aanvulling op de SCC. Waaronder maatregelen die worden toegepast tijdens de toezending en op de verwerking van de persoonsgegevens in het land van bestemming. Hier kan bijvoorbeeld gedacht worden aan encryptie en pseudonimisering.
Als er geen passende waarborgen kunnen worden geboden vanwege de omstandigheden van de doorgifte en mogelijke aanvullende maatregelen, moet de verstrekker de doorgifte van persoonsgegevens opschorten of beëindigen.
Wat betekent dit voor uw doorgifte?
Zowel de gegevensverstrekker als -ontvanger moeten de risicoanalyse op grond van de nieuwe SCC documenteren en op verzoek ter beschikking te stellen van de privacy toezichthouder. Vanaf 27 september 2021 moeten bedrijven gebruikmaken van de nieuwe SCC. Bedrijven die nu al een modelcontract als doorgifte-instrument gebruiken, hebben tot 27 december 2022 de tijd om hun huidige contracten in lijn brengen met de nieuwe SCC. Organisaties moeten nu bekijken of zij in lopende contracten de oude modelcontracten gebruiken. Als dit zo is, moeten zij overstappen op het nieuwe modelcontract. Daarbij dienen partijen alsnog een Data Transfer Impact Assessment uit te voeren.