Het Data Protection Impact Assessment (DPIA) is de voorafgaande schriftelijke privacy-toets die moet worden uitgevoerd op hoog-risicoverwerkingen van persoonsgegevens. Een nieuw assessment dat we qua terminologie vaker voorbij zien komen, is het Data Transfer Impact Assessment (DTIA). Over wat een DTIA inhoudt, hoe deze moet worden uitgevoerd en waar dit vandaan komt.
Sinds Schrems II is de geest uit de fles voor internationale doorgifte. Steeds meer toezichthouders buigen zich over klachten inzake internationale doorgiftes en beoordelen de betreffende doorgiftes als onrechtmatig. Denk aan het gebruik van Google Analytics-cookies dat zowel in Frankrijk, als Oostenrijk, als door de European Data Protection Supervisor onrechtmatig werd verklaard vanwege de doorgifte van persoonsgegevens naar de Verenigde Staten (VS). Denk aan Cookiebot die volgens een Duitse voorzieningenrechter niet meer mag worden gebruikt vanwege hetzelfde euvel. Wat is er aan de hand?
Schrems II
In Schrems II is het Privacy Shield ongeldig verklaard. Daarbij zijn door het Hof van Justitie van de Europese Unie (HvJ EU) in deze zaak extra voorwaarden gesteld aan het internationaal doorgeven van persoonsgegevens, in ieder geval op basis van de Standard Contractual Clauses (SSC’s). Voorafgaand aan een internationale doorgifte op basis van de SCC’s moet volgens het HvJ EU namelijk een zogenoemde DTIA worden uitgevoerd. Volgens de Recommendations 01/2020, waarin een nadere uitwerking is gegeven aan de Schrems II-vereisten, bestaat een DTIA uit de volgende zes stappen:
- Breng alle internationale doorgiftes in kaart: aan welke landen/organisaties worden welke persoonsgegevens voor welke doeleinden doorgegeven, en is dat noodzakelijk?
- Breng de relevante passende waarborgen (hoofdstuk V AVG/GDPR) in kaart op basis waarvan de internationale doorgifte plaatsvindt.
- Breng de relevante (nationale) wetgeving en praktijken (zoals bevoegdheden van nationale inlichtingendiensten) in kaart die van toepassing zijn in het land waarnaar de persoonsgegevens worden doorgegeven.
- Identificeer de benodigde aanvullende (beveiligings)maatregelen (zoals end-to-end-encryptie) om het beschermingsniveau tot een gelijkwaardig niveau te brengen en pas deze toe.
- Tref benodigde procedurele waarborgen (zoals het overeenkomen van SCC’s).
- Evalueer dit geheel periodiek.
Hoe ziet een DTIA eruit?
Anders dan voor een DPIA, zijn voor een DTIA geen (vorm)vereisten vastgelegd in de AVG/GDPR. Hoe u een DTIA uitwerkt en of u dit bijvoorbeeld verwerkt in een DPIA of als los assessment uitvoert, is dus ook aan uw organisatie om te besluiten. Belangrijk is met name dat u de zes stappen die hierboven zijn genoemd goed en volledig uitwerkt en dit alles documenteert. Daarnaast is het advies om net zoals bij een DPIA – let op, dit is niet wettelijk verplicht gesteld – indien aangesteld een functionaris voor gegevensbescherming om advies te vragen over de DTIA.
Europese Economische Ruimte
Contractueel wordt de verplichting tot het uitvoeren van een DTIA al geborgd in de nieuwe SCC’s. Hierin wordt de partij buiten de Europese Economische Ruimte (EER) die de data ontvangt, de zogenoemde ‘data importer’, verplicht om een DTIA uit te voeren voordat de doorgifte plaatsvindt. Vanaf eind dit jaar mogen alleen de nieuwe SCC’s nog in gebruik zijn en bestaat de DTIA-verplichting dus ook sowieso contractueel.
Conclusie
De DTIA-verplichting is tot stand gekomen als gevolg van Schrems II. De verplichting tot het uitvoeren hiervan en de wijze waarop dit dient te gebeuren, is geborgd in jurisprudentie, aanbevelingen en de nieuwe SCC’s. Daarnaast vragen toezichthouders in hun onderzoeken, bijvoorbeeld naar Google Analytics, steeds vaker naar uitgevoerde DTIA’s om te oordelen of de internationale doorgifte onrechtmatig plaatsvindt.
Ofwel, het is dus belangrijk dat u de DTIA-verplichting een standaardonderwerp laat vormen van uw privacy-processen.