Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Na DPIA komt DTIA

Computable Expert

mr. Michelle Wijnant
Advocaat, De Clercq Advocaten Notariaat. Expert van Computable voor de topics Datamanagement, Security en ICT-branche.

Het Data Protection Impact Assessment (DPIA) is de voorafgaande schriftelijke privacy-toets die moet worden uitgevoerd op hoog-risicoverwerkingen van persoonsgegevens. Een nieuw assessment dat we qua terminologie vaker voorbij zien komen, is het Data Transfer Impact Assessment (DTIA). Over wat een DTIA inhoudt, hoe deze moet worden uitgevoerd en waar dit vandaan komt.

Sinds Schrems II is de geest uit de fles voor internationale doorgifte. Steeds meer toezichthouders buigen zich over klachten inzake internationale doorgiftes en beoordelen de betreffende doorgiftes als onrechtmatig. Denk aan het gebruik van Google Analytics-cookies dat zowel in Frankrijk, als Oostenrijk, als door de European Data Protection Supervisor onrechtmatig werd verklaard vanwege de doorgifte van persoonsgegevens naar de Verenigde Staten (VS). Denk aan Cookiebot die volgens een Duitse voorzieningenrechter niet meer mag worden gebruikt vanwege hetzelfde euvel. Wat is er aan de hand?

Schrems II

"Het Hof van Justitie van de Europese Unie heeft extra voorwaarden gesteld aan het internationaal doorgeven van persoonsgegevens"

In Schrems II is het Privacy Shield ongeldig verklaard. Daarbij zijn door het Hof van Justitie van de Europese Unie (HvJ EU) in deze zaak extra voorwaarden gesteld aan het internationaal doorgeven van persoonsgegevens, in ieder geval op basis van de Standard Contractual Clauses (SSC's). Voorafgaand aan een internationale doorgifte op basis van de SCC's moet volgens het HvJ EU namelijk een zogenoemde DTIA worden uitgevoerd. Volgens de Recommendations 01/2020, waarin een nadere uitwerking is gegeven aan de Schrems II-vereisten, bestaat een DTIA uit de volgende zes stappen:

  • Breng alle internationale doorgiftes in kaart: aan welke landen/organisaties worden welke persoonsgegevens voor welke doeleinden doorgegeven, en is dat noodzakelijk?
  • Breng de relevante passende waarborgen (hoofdstuk V AVG/GDPR) in kaart op basis waarvan de internationale doorgifte plaatsvindt.
  • Breng de relevante (nationale) wetgeving en praktijken (zoals bevoegdheden van nationale inlichtingendiensten) in kaart die van toepassing zijn in het land waarnaar de persoonsgegevens worden doorgegeven.
  • Identificeer de benodigde aanvullende (beveiligings)maatregelen (zoals end-to-end-encryptie) om het beschermingsniveau tot een gelijkwaardig niveau te brengen en pas deze toe.
  • Tref benodigde procedurele waarborgen (zoals het overeenkomen van SCC's).
  • Evalueer dit geheel periodiek.

Hoe ziet een DTIA eruit?

Anders dan voor een DPIA, zijn voor een DTIA geen (vorm)vereisten vastgelegd in de AVG/GDPR. Hoe u een DTIA uitwerkt en of u dit bijvoorbeeld verwerkt in een DPIA of als los assessment uitvoert, is dus ook aan uw organisatie om te besluiten. Belangrijk is met name dat u de zes stappen die hierboven zijn genoemd goed en volledig uitwerkt en dit alles documenteert. Daarnaast is het advies om net zoals bij een DPIA - let op, dit is niet wettelijk verplicht gesteld - indien aangesteld een functionaris voor gegevensbescherming om advies te vragen over de DTIA.

Europese Economische Ruimte

"Vanaf eind dit jaar mogen alleen de nieuwe Standard Contractual Clauses nog in gebruik zijn"

Contractueel wordt de verplichting tot het uitvoeren van een DTIA al geborgd in de nieuwe SCC's. Hierin wordt de partij buiten de Europese Economische Ruimte (EER) die de data ontvangt, de zogenoemde ‘data importer’, verplicht om een DTIA uit te voeren voordat de doorgifte plaatsvindt. Vanaf eind dit jaar mogen alleen de nieuwe SCC's nog in gebruik zijn en bestaat de DTIA-verplichting dus ook sowieso contractueel.

Conclusie

De DTIA-verplichting is tot stand gekomen als gevolg van Schrems II. De verplichting tot het uitvoeren hiervan en de wijze waarop dit dient te gebeuren, is geborgd in jurisprudentie, aanbevelingen en de nieuwe SCC's. Daarnaast vragen toezichthouders in hun onderzoeken, bijvoorbeeld naar Google Analytics, steeds vaker naar uitgevoerde DTIA’s om te oordelen of de internationale doorgifte onrechtmatig plaatsvindt.

Ofwel, het is dus belangrijk dat u de DTIA-verplichting een standaardonderwerp laat vormen van uw privacy-processen.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Sponsored content 

HPE information Governance solutions: controle over uw data

Door datagroei, hogere gebruikerseisen en regelgeving wordt datamanagement een steeds grotere uitdaging. En dat terwijl uw bedrijfsdata ook uw waardevolste bezit is. Met de flexibele, modulaire datamanagement-oplossingen van Hewlett Packard Enterprise neemt u het heft in handen en haalt u bruikbare inzichten uit uw data tegen zo laag mogelijke kosten. 

Ontdek in deze whitepaper hoe u Information Governance proactief aanpakt met maximaal voordeel en minimale kosten.

Lees hier verder.


Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2022-03-03T14:31:00.000Z Michelle Wijnant


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.