De Schrems II-uitspraak en de Data Transfer Impact Assessment (DTIA)

Slaat uw organisatie gegevens op bij servers die zijn gevestigd in de Verenigde Staten, bijvoorbeeld bij Amazon Web Services (AWS)? Houdt u er dan rekening mee dat u op grond van de Schrems II-uitspraak van het Europese Hof van Justitie verplicht bent om een zogenoemde Data Transfer Impact Assessment (DTIA) uit te (laten) voeren.

Met een DTIA beoordeelt u of de SCC’s kunnen worden nageleefd gelet op de wetgeving van het betreffende land. Afhankelijk van de uitkomst, mag de doorgifte van persoonsgegevens (onder voorwaarden) plaatsvinden of dient u de doorgifte te staken. In deze blog lichten wij toe waarom een Data Transfer Impact Assessment (DTIA) noodzakelijk is, hoe deze uitgevoerd kan worden en wat de uitkomsten kunnen zijn.

De Algemene Verordening Gegevensbescherming (AVG) bepaalt dat persoonsgegevens uitsluitend doorgegeven mogen worden aan derde landen (landen buiten de EER) indien het door de AVG gewaarborgde beschermingsniveau niet wordt ondermijnd.

Op 26 juli 2020 heeft het Europese Hof van Justitie in de Schrems II-uitspraak het EU-VS Privacy Shield ongeldig verklaard, omdat het Privacy Shield geen passend beschermingsniveau garandeert. De Amerikaanse wetgeving biedt onvoldoende waarborgen om de persoonsgegevens van EU-burgers te beschermen tegen (onevenredige) surveillance door Amerikaanse inlichtingendiensten. Het gevolg hiervan is dat Europese organisaties op grond van het Privacy Shield geen persoonsgegevens meer mogen doorgeven naar de V.S.

Het Hof oordeelde dat het nog wel mogelijk is om persoonsgegevens door te geven naar
de V.S. op basis van de door de Europese Commissie goedgekeurde modelcontracten, de zogenoemde Standard Contractual Clauses (SCC’s). Maar het alleen ondertekenen van de SCC’s is niet genoeg om doorgifte naar de V.S. mogelijk te maken, ook is er een verplichting om na te gaan of de SCC’s kunnen worden nageleefd in het kader van de Amerikaanse wetgeving. Dit wordt ook wel een DTIA genoemd.

De verplichting om een DTIA uit te voeren geldt overigens niet alleen bij doorgiften naar de V.S., maar ook voor doorgiften naar andere derde landen is de uitvoering van een DTIA verplicht.

De European Data Protection Board (EDPB) heeft aanbevelingen gepubliceerd die meer uitleg geven over hoe een DTIA uitgevoerd moet worden.

Een DTIA bevat volgens de EDPB de volgende stappen:

• Stap 1: het in kaart brengen van alle doorgiften naar derde landen.
• Stap 2: het identificeren van de doorgifte instrumenten waar de organisatie gebruik van maakt.
• Stap 3: een beoordeling of het doorgifte instrument effectief is in het kader van de wetgeving en praktijken van het betreffende derde land.
• Stap 4: indien uit de voornoemde beoordeling blijkt dat de wetgeving/praktijken van een derde land van invloed zijn op de effectiviteit van het doorgifte instrument (bijvoorbeeld de SCC’s), dan is de vierde stap het identificeren en implementeren van aanvullende maatregelen die nodig zijn voor een passend beschermingsniveau die vergelijkbaar is met de EU-norm.
• Stap 5: het nemen van eventuele formele procedurele stappen (bijvoorbeeld het informeren van de Autoriteit Persoonsgegevens, indien dit nodig is).
• Stap 6: Het om de zoveel tijd evalueren van het beschermingsniveau dat wordt geboden bij de doorgiften van persoonsgegevens naar derde landen en of er ontwikkelingen zijn die het beschermingsniveau mogelijk kunnen beïnvloeden.

Volgens de EPDB en de Schrems II-uitspraak kan de DTIA drie uitkomsten hebben. Deze zullen hierna worden beschreven.

1. De doorgifte kan plaatsvinden zonder dat er aanvullende maatregelen noodzakelijk zijn.
   Dit is het geval als u kan aantonen dat er geen reden is om aan te nemen dat de relevante wetgeving uit het derde land zal worden toegepast op de betreffende doorgifte.

2. De doorgifte kan pas plaatsvinden nadat er aanvullende maatregelen zijn getroffen.
   Indien het aannemelijk is dat de wetgeving van invloed kan zijn op het naleven van de SCC’s, dan zal uw organisatie passende aanvullende maatregelen dienen te treffen. Hierbij is het van belang dat de persoonsgegevens zodanig worden versleuteld dat de Amerikaanse inlichtingendiensten geen (indirecte) toegang kunnen krijgen tot de persoonsgegevens.
   
   
3. De doorgifte moet worden gestaakt.
   Wanneer er geen aanvullende maatregelen kunnen worden getroffen (of de maatregelen hebben niet het gewenste effect), dan zal uw organisatie de doorgifte
   in beginsel moeten staken. De persoonsgegevens moeten dan binnen de EU worden gehouden.

Op 25 maart 2022 heeft de Europese Commissie een politiek principeakkoord bereikt over een nieuw Trans-Atlantic Data Privacy Framework (TADPF). Het TADPF dient de bezwaren die het Hof heeft geuit in de Schrems II-uitspraak weg te nemen. Op 7 oktober 2022 heeft president Biden een Executive Order (E.O.) ondertekend waarin uitvoering wordt gegeven aan de gemaakte afspraken met de EU. De TADPF en de E.O. kunnen een basis vormen voor een nieuw adequaatheidsbesluit van de Europese Commissie. Wanneer een dergelijk besluit wordt genomen, dan kunnen persoonsgegevens worden doorgegeven naar de V.S. zonder dat er SCC’s gesloten hoeven te worden, een DTIA uitgevoerd hoeft te worden en aanvullende maatregelen nodig zijn.

Wilt u meer informatie over de voorwaarden waaraan uw organisatie moet voldoen bij de doorgifte van persoonsgegevens naar derde landen? Wilt u dat wij een Data Transfer Impact Assessment (DTIA) voor uw organisatie uitvoeren? Neem dan contact op met onze privacyrecht specialisten Hillie Lunter en Tom Klatter.

Lees ook de andere blogs in deze reeks:

• Deel 1: wanneer is er sprake van doorgifte van persoonsgegevens naar derde landen?
• Deel 2: wanneer kan doorgifte van persoonsgegevens naar derde landen plaatsvinden?