Another One – Nog een assessment erbij

Stappenplan voor het uitvoeren van Transfer Impact Assessments (TIAs) als onderdeel van clausule 14 van de vernieuwde SCCs

Doorgifte van persoonsgegevens aan derde landen
Wanneer persoonsgegevens vanuit de Europese Economische Ruimte (EER) worden geëxporteerd naar landen daarbuiten moet zich deze doorgifte kunnen beroepen op een van de gronden uit hoofdstuk V AVG. Een daarvan zijn standaardcontractbepalingen (“standard contractual clauses” of “SCCs”. Alhoewel het ook mogelijk is om doorgifte op andere gronden te laten baseren zal dit artikel ervan uitgaan dat gebruik wordt gemaakt van SCCs.

De vernieuwde Standard Contractual Clauses
De vernieuwde SSCs  zijn inmiddels al ruim een half jaar geleden gepubliceerd. Steeds meer bedrijven nemen de nieuwe clausules over bij het aanpassen van bestaande overeenkomsten waarbij persoonsgegevens worden overgedragen, waarvoor overigens nog tot 27 december 2022 de tijd is. Als onderdeel van deze aanpassing eist clausule 14 van de SCCs dat zogeheten “Transfer Impact Assessments” (“TIA’s”) worden uitgevoerd wanneer doorgifte van persoonsgegevens aan derde landen (dat wil zeggen: buiten de EER)[1] aan de orde is. Hieronder worden de belangrijkste punten samengevat om met een TIA aan de slag te gaan.

Transfer Impact Assessments
Het doel van een TIA is om het risico te analyseren van een bepaalde doorgifte van persoonsgegevens naar een derde land[2] waar gebruik wordt gemaakt van SCCs als basis van doorgifte[3].

• Dataexporteur en -importeur
  De TIA dient te worden uitgevoerd door de dataexporteur, met behulp en input van de dataimporteur waar nodig. De dataexporteur is de entiteit die gevestigd is in de EU en persoonsgegevens doorgeeft of anderszins beschikbaar stelt aan een entiteit in een derde land.[4] Het begrip “anderszins beschikbaar stellen” is hierbij belangrijk omdat het dus ook ziet op toegang vanuit een derde land, bijvoorbeeld via de Cloud, wanneer de gegevens niet in het derde land worden gehost.

• Vormvrij
  TIAs zijn vormvrij, wat betekent dat een exporteur in beginsel vrij is om te bepalen hoe hij de TIA wil uitvoeren. De Europese toezichthouder (“European Data Protection Board” of “EDPB”) geeft in haar Recommendations 01/2020 een aanbeveling van een stappenplan dat hieronder nader besproken wordt.

• Aansprakelijkheid
  Partijen (zowel de dataexporteur als de dataimporteur) zijn beiden hoofdelijk aansprakelijk voor schade die ontstaat door niet-nakoming van verplichtingen die vloeien uit de clausules in de vernieuwde SCCs, inclusief TIAs. Deze aansprakelijkheid kan niet worden beperkt, bijvoorbeeld door algemene voorwaarden.

Wat zijn de implicaties van de Schrems II uitspraak?
De Schrems II uitspraak[5] is bepalend geweest in de ontwikkeling van vereisten aan doorgiftes naar derde landen. Uit deze uitspraak vloeien enkele aandachtspunten voort die ook van belang zullen zijn bij het uitvoeren van TIAs, vooral als het gaat om doorgiftes naar de VS.

In het stappenplan hieronder vereist stap 3 dat geldende wet- en regelgeving in het ontvangende land moet worden geanalyseerd. In de Schrems II uitspraak heeft het HvJEU geconcludeerd dat door de manier waarop de ‘Section 702 Foreign Intelligence Surveillance Act (FISA)’, ‘Executive Order 1233’ en de ‘Presidential Policy Directive 28’ ingericht zijn geen sprake kan zijn van een beschermingsniveau dat overeenkomt met het Europese niveau, te weten het door artikel 47 van het Handvest gewaarborgde niveau[6]. Dit betekent niet dat doorgifte van persoonsgegevens naar de VS niet meer mogelijk is.[7] Wel zal bij een TIA deze uitspraak meegenomen moeten worden wanneer er sprake is van een doorgifte naar de VS en één of meerdere van de eerdergenoemde drie wet- en regelgevingen van toepassing is voor de dataimporteur.

EDPB Stappenplan
De EDPB heeft een stappenplan voorgesteld in haar Recommendations 01/2020, hieronder volgt een kort overzicht van de zes stappen:

1. Ken je doorgiftes/trigger-mechanisme
   Het is belangrijk om te weten waar je gegevens heen gaan. De eerste stap is dan ook om te weten wanneer er sprake is van doorgifte van persoonsgegevens naar een derde land. Het verwerkingsregister kan hierbij helpen om dit in kaart te brengen en om eventueel als trigger te dienen voor gevallen waarvoor een TIA vereist is.

2. Controleer de basis van je doorgifte
   Onder hoofdstuk V van de AVG worden verschillende manieren genoemd die de doorgifte naar een derde land mogelijk maken, zoals onder andere: adequaatheidsbesluiten, Binding Corporate Rules (BCRs) of SCCs. In onderhavig geval gaan wij ervan uit dat SCCs de basis vormen van de doorgifte.

3. Beoordeel alles wat de werkzaamheid van passende waarborgen zou kunnen beïnvloeden
   Deze stap vereist het meeste werk en vergt de samenwerking (en informatie) van de dataimporteur. Het doel is om een overzicht te creëren van omstandigheden in het derde land die de waarborgen, die voor de bescherming van de persoonsgegevens bestaan, in gevaar zouden kunnen brengen. Hiervoor verwijst de EDPB naar drie soorten omstandigheden:

• wet- en regelgeving in het derde land dat formeel aan dezelfde eisen voldoet als in de EU, maar in de praktijk niet nageleefd wordt;
• praktijken in het derde land die onverenigbaar zijn met verplichtingen die voortvloeien uit de basis van je doorgifte (in onderhavig geval met de SCCs)
• specifieke wet- of regelgeving waaronder de dataimporteur valt waardoor er geen sprake kan zijn van een adequaat niveau van bescherming en waardoor de EU-standaarden op het gebied van grondrechten, noodzakelijkheid en evenredigheid niet vervuld kunnen worden.

Zorg ervoor dat deze evaluatie goed gedocumenteerd is en desgewenst aan de toezichthouder aantoonbaar kan worden gemaakt waarom welke keuzes wel of niet zijn gemaakt met betrekking tot maatregelen.

4. Eventueel: Identificeer en implementeer aanvullende maatregelen
   Voor het geval dat uit de vorige stap kwam dat er omstandigheden zijn die de waarborgen schaden, is de volgende stap om aanvullende maatregelen[8] te nemen. Denk hierbij aan zowel technische oplossingen, zoals encryptie of het anonimiseren van data, evenals organisatorische maatregelen, zoals dataminimalisatie of onderlinge afstemming voordat persoonsgegevens met een derde partij gedeeld worden. De dataexporteur is ervoor verantwoordelijk om te toetsen dat de maatregelen effectief zullen zijn in het derde land. Let op: in sommige gevallen is het niet mogelijk om effectieve maatregelen te nemen, bijvoorbeeld omdat een wet in het derde land het de dataimporteur verbiedt om de dataexporteur te informeren over eventuele gegevensuitwisseling (“gag order”). Wanneer geen effectieve maatregelen kunnen worden genomen dient de doorgifte van gegevens gestaakt te worden.

5. Eventueel: Formele procedurele stappen die vereist zijn onder artikel 46 AVG
   Dit is niet van toepassing als gebruik wordt gemaakt van de SCCs. Let wel op dat overige onderlinge afspraken geen afbreuk doen aan de rechten en verplichtingen die vloeien uit de SCCs.

6. Evalueer de geboden bescherming op gepaste intervallen opnieuw
   Monitor ontwikkelingen die bovenstaande analyse zouden kunnen beïnvloeden. Het kan hiervoor handig zijn om dergelijke reviewmomenten regelmatig in te plannen.

Voor een succesvol uitgevoerde TIA is het tevens belangrijk om ook voldoende ondersteuning in het managementteam of ander beslissend orgaan te hebben. Een TIA vereist voldoende middelen om goed uitgevoerd te worden. Wanneer jouw organisatie beschikt over een interne FG of privacy officer, is dit het ideale aanspreekpunt voor een TIA. Indien uw organisatie een dergelijke rol niet intern bezet heeft of behoefte heeft aan extra capaciteit of input, helpen wij jou graag verder. Neem hiervoor contact met ons op en samen kijken wij hoe wij jou het beste kunnen ondersteunen.

[1] Basis voor doorgifte in de zin van artikel 46 AVG
[2] Doorgifte naar derde landen wordt behandeld in hoofdstuk V AVG, artikel 44 e.v.
[3] SCCs of standaardcontractbepalingen in de zin van artikel 46 lid 2 sub c AVG
[4] Zie voor een verdiepende uitleg van de dataexporteur of -importeur ook Guidelines 05/2021 van de EDPB
[5] Zaak C-311/18 van het Hof van Justitie van de Europese Unie (HvJEU)
[6] Het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, artikel 47 van het Handvest van de Grondrechten van de Europese Unie
[7] In gevallen waar een dataexporteur zich niet kan beroepen op een ‘adequaat’ niveau ex art. 45 AVG, biedt art. 46 AVG uitkomst, mits er ‘passende waarborgen’ zijn. De nuance tussen deze twee begrippen is cruciaal en staat daarom toe dat, afhankelijk van de concrete omstandigheden van een geval, alsnog doorgifte van persoonsgegevens naar derde landen kan plaatsvinden.
[8] Zie voor meer voorbeelden van maatregelen ook Annex 2 van de EDPB Recommendations 01/2020