Data Transfer Impact Assessment (DTIA) laten uitvoeren?
Als persoonsgegevens buiten de EU worden gedeeld, kunnen de rechten van betrokkenen mogelijk geschaad worden als niet vastgesteld is dat de partij buiten de EU de persoonsgegevens goed beschermt. De EU heeft de wetgeving van diverse landen buiten de EU beoordeeld als gelijkwaardig als de AVG. Voor deze landen is vastgesteld dat er een passend beschermingsniveau is ingeregeld en geldt het adequaatheidsbesluit.
Voor de landen waarvoor het adequaatheidsbesluit niet geldt, heeft de European Data Protection Board (EDPB) aanbevelingen opgesteld als persoonsgegevens naar een derde land worden doorgegeven. De organisatie zal met de importerende organisatie van geval tot geval moeten vaststellen dat de wetgeving of de praktijk van het derde land afbreuk doet aan de passende bescherming van persoonsgegevens. Deze organisatie kan zowel een verwerkingsverantwoordelijke als een verwerker zijn. De verwerkingsverantwoordelijke blijft altijd eindverantwoordelijk en zal moeten nagaan dat de verwerker de beoordeling juist heeft uitgevoerd.
Wat is onze aanpak?
De EDPB heeft in haar advies een Data Transfer Impact Assessment (DTIA) opgenomen dat bestaat uit zes stappen.
In hoofdlijnen bestaan de stappen uit:
- Weet welke persoonsgegevens u wilt delen met de importerende organisatie en of de persoonsgegevens door deze organisatie verder worden doorgegeven.
- Verificatie van het overdrachtsinstrument waarop de overdracht rust. De AVG kent in artikel 46 vier overdrachtsinstrumenten. Als voor het derde land een adequaatheidsbesluit geldt, dan bestaat de verificatie uit het vaststellen van de geldigheid hiervan.
- Deze stap bestaat uit het nagaan of in de geldende wetgeving en/of praktijken van het derde land zich aspecten bevinden die de passende bescherming kunnen beletten. Met name overheidsinstanties in het derde land kunnen zich bepaalde rechten tot inzage van persoonsgegevens hebben toegekend.
- Daarna volgt het vaststellen en goedkeuren van de aanvullende maatregelen die nodig zijn om het beschermingsniveau van de doorgegeven gegevens op het niveau van de EU-norm van essentiële gelijkwaardigheid te brengen. Deze stap is alleen nodig als uit stap 3 is gebleken dat wetgeving en/of praktijk geen voldoende bescherming bieden.
- Hier worden de formele procedurele stappen genomen die de vaststelling van de aanvullende maatregelen regelen, afhankelijk van het overdrachtsinstrument. In deze laatste stap wordt het beschermingsniveau periodiek opnieuw geëvalueerd.
- In deze stap worden in feite de stappen 1 t/m 5 opnieuw doorlopen. De frequentie is afhankelijk van het risico, de omvang van de gegevensuitwisseling en de gevoeligheid van de persoonsgegevens.
De stappen moeten aantoonbaar worden vastgelegd en toegankelijk zijn voor de Functionaris voor Gegevensbescherming (FG) en de toezichthouder.
Hoe kunnen wij u helpen?
Wij kunnen ons voorstellen dat uw organisatie terugschrikt van het moeten opstellen van een DTIA. Zeker als het niet vaak nodig is. Wij kunnen uw organisatie ondersteunen bij het uitvoeren van DTIA’s. Wij leiden uw organisatie door alle stappen heen en zorgen voor een goede vastlegging.
Het is mogelijk het uitvoeren van DTIA’s structureel te organiseren met bewustwordings- en trainingprogramma’s en ondersteuning van tooling.
Heeft u vragen of wilt u een afspraak maken?
Heeft u vragen over het organiseren van een Data Transfer Impact Assesment (DTIA)? Neem gerust contact met ons op.
