Het zogenaamde Data Transfer Impact Assessment (ook wel TIA) beoordeelt de risico’s van doorgifte van persoonsgegevens buiten de EU en helpt bij het vaststellen van eventuele aanvullende maatregelen. Het hoe, wat en waarom vindt u in deze blog.
In juni deelden wij de nieuwe Standard Contractual Clauses (SCC’s) met u. Bedrijven kunnen een modelcontract gebruiken voor de doorgifte van persoonsgegevens vanuit de Europese Economische Ruimte (EER) naar landen daarbuiten. Door een modelcontract te gebruiken, hoef je als ondernemer zo’n contract niet volledig zelf op te stellen en ben je zeker van een AVG-proof model.
Kent een land buiten de EER niet hetzelfde beschermingsniveau ten aanzien van persoonsgegevens als de AVG?
Dan mag u niet zomaar persoonsgegevens uitwisselen met dat land. Dit geldt bijvoorbeeld voor de Verenigde Staten. Als u dit wel wilt doen, dan sluit u bijvoorbeeld een SCC én zorgt u voor een Data Transfer Impact Assessment.
Wat is het Data Transfer Impact Assessment?
Met het Data Transfer Impact Assessment beoordeelt u de risico’s van de doorgifte van persoonsgegevens naar landen die niet hetzelfde beschermingsniveau kennen als wij. Daarnaast definieert u waar nodig aanvullende maatregelen om persoonsgegevens bij doorgifte adequaat te beschermen, zoals encryptie.
Uit de SCC’s volgt een aantal punten met betrekking tot de TIA:
de verwerker moet de gegevensverantwoordelijke van alle relevante informatie voorzien;
partijen garanderen dat er geen redenen zijn om aan te nemen dat de wetten van het land waar de verwerking plaatsvindt ertoe leiden dat de verplichtingen vloeiend uit de SCC worden geschonden;
partijen onderzoeken samen wat de specifieke omstandigheden van de doorgifte, de wetten en gebruiken in het betreffende land zijn en nemen waar nodig passende extra maatregelen.
De partijen komen overeen om de beoordeling te documenteren en op verzoek ter beschikking te stellen aan de bevoegde toezichthoudende autoriteit.
Wat moet u onderzoeken bij het Data Transfer Impact Assessment?
Wat van groot belang is, is dat iedere specifieke overdracht zijn eigen beoordeling vraagt. Als u eenmalig de wetgeving van bijvoorbeeld Amerika uitpluist, kunt u vervolgens niet met iedere Amerikaanse partij klakkeloos persoonsgegevens uitwisselen.
Het is een combinatie van de beoordeling van de regelgeving van het betreffende land én van de specifieke kenmerken van de gegevensdoorgifte in kwestie. Over welke kenmerken hebben we het dan zoal?
Denk aan:
Het aantal betrokken partijen bij de verwerking;
De middelen en kanalen voor doorgifte;
De beveiliging van de doorgifte;
Het doel van de verwerking;
Het type persoonsgegevens (gevoelig of niet?);
De opslag van de persoonsgegevens ter plaatse; etc.
Deze beoordeling kan ertoe leiden dat u aanvullende maatregelen moet treffen om de gegevensdoorgifte veilig te laten verlopen. Het kan ook zijn dat blijkt dat de risico’s onaanvaardbaar zijn en dat u toch op zoek moet naar een partij dichterbij huis.
Kunt u ondersteuning gebruiken bij het uitvoeren van een Data Transfer Impact Assessment? Onze ICT-juristen staan voor u klaar en helpen u graag verder. Neem contact met ons op via 010 2290 646 of contact@legalz.nl
Blijf op de hoogte!
Op de hoogte blijven van deze en andere ontwikkelingen in ICT Recht? Meld u dan nu aan voor onze maandelijkse nieuwsbrief en krijg onze blogs automatisch in uw inbox.