16 nov, 2021

Internationale doorgifte van persoonsgegevens – De EU tegen de VS en de rest

Information security implementatie - interne audits - cyber security
16 nov, 2021

16 juli 2020, Max Schrems zorgt voor een tweede keer voor een bom binnen de privacy wereld (Schrems II-arrest). Het Privacy Shield, het mechanisme dat ervoor moet zorgen dat persoonsgegevens op een vrije en beschermde manier tussen de EU en de VS moeten kunnen vloeien, is niet meer. Onvoldoende besloot het Hof van Justitie. Ondanks dat het Hof van Justitie bevestigde dat de doorgifte van persoonsgegevens op basis van modelbepalingen (hierna: “SCC’s”) nog steeds mogelijk zou blijven, was het toch vooral wachten op een nieuwe en verbeterde versie van de SCC’s die al sinds 2010 dateren en dus niet langer volstonden in de wereld van vandaag.

Nieuwe SCC’s

De Europese Commissie heeft met de aanname op 4 juni 2021 van de nieuwe SCC’s getracht een oplossing te bieden voor de nietigverklaring van het Privacy Shield in het Schrems II-arrest. Belangrijke aandachtspunten van deze nieuwe SCC’s:

  • Ze zijn modulair en kunnen specifiek op de context worden afgestemd (bv. tussen twee verwerkers);
  • Er hangt een ander geografisch toepassingsgebied aan vast;
  • Meerpartijenclausules en de koppelingsclausule (docking clause);
  • Risk-based approach: beoordeling op te nemen in een Data Transfer Impact Assessment (DTIA);
  • Verplichte kennisgeving van verzoeken door overheidsinstanties;
  • Toetsen en aanvechten van onwettige verzoeken;
  • Transparantierapportage over ontvangen verzoeken;

Belangrijke datums hierbij zijn:

  • Sinds 27 september 2021 mogen de oude SCC’s niet langer gebruikt worden;
  • Ten laatste 22 december 2022 moeten alle oude SCC’s vervangen zijn door de nieuwe SCC’s.

Data Transfer Impact Assessment (DTIA)

Om aan te tonen dat een doorgifte van persoonsgegevens buiten de EU/EER een gelijkwaardig beschermingsniveau heeft, moet er een assessment uitgevoerd worden voor het beschermingsniveau in het derde land. Hierbij is het niet enkel van belang om dit te doen voor de ontvanger in het derde land, maar ook voor iedere verdere verwerking (van subverwerkers).

Hiervoor moeten volgende 6 stappen doorlopen worden:

  1. Het in kaart brengen van de persoonsgegevens die worden doorgegeven bij de verwerking en het beperken van de doorgifte tot het uiterst noodzakelijke.
  2. De vaststelling van het gebruikte doorgifte-instrument (bv. een adequaatheidsbesluit of de SCC’s).
  3. Na gaan of er iets in de wetgeving en/of de gangbare praktijken van het derde land afbreuk kan doen aan de doeltreffendheid van de doorgifte-instrumenten.
  4. Aanvullende maatregelen vaststellen en goedkeuren.
  5. Ondernemen van alle formele procedurele stappen (bv. goedkeuring door toezichthoudende autoriteit) die voor aanvullende maatregelen vereist kunnen zijn.
  6. (Her)evaluatie van de DTIA op regelmatige basis.

Toekomst

De nietigverklaring van het Privacy Shield heeft voor heel wat ongerustheid en moeilijkheden gezorgd bij doorgiftes tussen de EU en de VS. Daarom zijn er gesprekken gaande over een nieuwe gelijkaardige overeenkomst die de nodige waarborgen in de wereld van vandaag kan garanderen. In de tussentijd zullen we het moeten doen met mechanismes zoals de SCC’s en de bijhorende onderzoeksvereisten.

To do’s

Bij Infosentry zien we nog al te vaak dat organisatie een slecht of zelfs geen beeld hebben over de verwerking van persoonsgegevens buiten de EER. Dit zorgt ervoor dat bepaalde verwerkingsactiviteiten mogelijks niet conform de GDPR worden uitgevoerd. Dit kan leiden tot onderzoeken of klachten bij de toezichthoudende autoriteit met (hoge) boetes en andere tot gevolg. Starten met het in kaart brengen van de gegevensstromen is fundamenteel om vervolgens de juiste beslissingen te nemen.

Gilles Bollen

Privacy & security consultant