Slaat uw organisatie gegevens op bij servers die zijn gevestigd in de Verenigde Staten, bijvoorbeeld bij Amazon Web Services (AWS)? Houdt u er dan rekening mee dat u op grond van de Schrems II-uitspraak van het Europese Hof van Justitie verplicht bent om een zogenoemde Data Transfer Impact Assessment (DTIA) uit te (laten) voeren.
Met een DTIA beoordeelt u of de SCC’s kunnen worden nageleefd gelet op de wetgeving van het betreffende land. Afhankelijk van de uitkomst, mag de doorgifte van persoonsgegevens (onder voorwaarden) plaatsvinden of dient u de doorgifte te staken. In deze blog lichten wij toe waarom een Data Transfer Impact Assessment (DTIA) noodzakelijk is, hoe deze uitgevoerd kan worden en wat de uitkomsten kunnen zijn.
De Algemene Verordening Gegevensbescherming (AVG) bepaalt dat persoonsgegevens uitsluitend doorgegeven mogen worden aan derde landen (landen buiten de EER) indien het door de AVG gewaarborgde beschermingsniveau niet wordt ondermijnd.
Op 26 juli 2020 heeft het Europese Hof van Justitie in de Schrems II-uitspraak het EU-VS Privacy Shield ongeldig verklaard, omdat het Privacy Shield geen passend beschermingsniveau garandeert. De Amerikaanse wetgeving biedt onvoldoende waarborgen om de persoonsgegevens van EU-burgers te beschermen tegen (onevenredige) surveillance door Amerikaanse inlichtingendiensten. Het gevolg hiervan is dat Europese organisaties op grond van het Privacy Shield geen persoonsgegevens meer mogen doorgeven naar de V.S.
Het Hof oordeelde dat het nog wel mogelijk is om persoonsgegevens door te geven naar
de V.S. op basis van de door de Europese Commissie goedgekeurde modelcontracten, de zogenoemde Standard Contractual Clauses (SCC’s). Maar het alleen ondertekenen van de SCC’s is niet genoeg om doorgifte naar de V.S. mogelijk te maken, ook is er een verplichting om na te gaan of de SCC’s kunnen worden nageleefd in het kader van de Amerikaanse wetgeving. Dit wordt ook wel een DTIA genoemd.
De verplichting om een DTIA uit te voeren geldt overigens niet alleen bij doorgiften naar de V.S., maar ook voor doorgiften naar andere derde landen is de uitvoering van een DTIA verplicht.
De European Data Protection Board (EDPB) heeft aanbevelingen gepubliceerd die meer uitleg geven over hoe een DTIA uitgevoerd moet worden.
Een DTIA bevat volgens de EDPB de volgende stappen:
Volgens de EPDB en de Schrems II-uitspraak kan de DTIA drie uitkomsten hebben. Deze zullen hierna worden beschreven.
Op 25 maart 2022 heeft de Europese Commissie een politiek principeakkoord bereikt over een nieuw Trans-Atlantic Data Privacy Framework (TADPF). Het TADPF dient de bezwaren die het Hof heeft geuit in de Schrems II-uitspraak weg te nemen. Op 7 oktober 2022 heeft president Biden een Executive Order (E.O.) ondertekend waarin uitvoering wordt gegeven aan de gemaakte afspraken met de EU. De TADPF en de E.O. kunnen een basis vormen voor een nieuw adequaatheidsbesluit van de Europese Commissie. Wanneer een dergelijk besluit wordt genomen, dan kunnen persoonsgegevens worden doorgegeven naar de V.S. zonder dat er SCC’s gesloten hoeven te worden, een DTIA uitgevoerd hoeft te worden en aanvullende maatregelen nodig zijn.
Wilt u meer informatie over de voorwaarden waaraan uw organisatie moet voldoen bij de doorgifte van persoonsgegevens naar derde landen? Wilt u dat wij een Data Transfer Impact Assessment (DTIA) voor uw organisatie uitvoeren? Neem dan contact op met onze privacyrecht specialisten Hillie Lunter en Tom Klatter.
Lees ook de andere blogs in deze reeks:
Tom Klatter studeerde Nederlands Recht (met de specialisatie staats- en bestuursrecht) en IT-recht aan de Rijksuniversiteit Groningen. Hij is werkzaam geweest als Privacy Officer bij een grootschalig onderzoeksprogramma en werkte als privacy jurist bij een juridisch advieskantoor waar hij met name overheids- en zorginstanties adviseerde over privacywetgeving. Daarnaast is Tom als (interim) Functionaris Gegevensbescherming werkzaam voor diverse opdrachtgevers. Tom is lid van de Vereniging Privacy Recht, de International Association of Privacy Professionals (IAPP) en is in het bezit van de volgende certificaten: Certified Information Privacy Professional/Europe (CIPP/E) en Certified Information Privacy Manager (CIPM). Daarnaast is Tom lid van de Jongeren Commercieele Club in Groningen (JCC).
Tom Klatter studeerde Nederlands Recht (met de specialisatie staats- en bestuursrecht) en IT-recht aan de Rijksuniversiteit Groningen. Hij is werkzaam geweest als Privacy Officer bij een grootschalig onderzoeksprogramma en werkte als privacy jurist bij een juridisch advieskantoor waar hij met name overheids- en zorginstanties adviseerde over privacywetgeving. Daarnaast is Tom als (interim) Functionaris Gegevensbescherming werkzaam voor diverse opdrachtgevers. Tom is lid van de Vereniging Privacy Recht, de International Association of Privacy Professionals (IAPP) en is in het bezit van de volgende certificaten: Certified Information Privacy Professional/Europe (CIPP/E) en Certified Information Privacy Manager (CIPM). Daarnaast is Tom lid van de Jongeren Commercieele Club in Groningen (JCC).