Ga naar de inhoud

Data Transfer Impact Assessment (DTIA) laten uitvoeren?

Buiten de EU is de AVG niet van kracht. Echter, bedrijven in de EU moeten voor hun bedrijfsactiviteiten soms persoonsgegevens delen met een bedrijf buiten de EU. Dat bedrijf buiten de EU kan zowel de rol van (sub)verwerker krijgen of als een verwerkingsverantwoordelijke de gegevens verwerken. Dit wordt doorgifte van persoonsgegevens genoemd. 

Als persoonsgegevens buiten de EU worden gedeeld, kunnen de rechten van betrokkenen mogelijk geschaad worden als niet vastgesteld is dat de partij buiten de EU de persoonsgegevens goed beschermt. De EU heeft de wetgeving van diverse landen buiten de EU beoordeeld als gelijkwaardig als de AVG. Voor deze landen is vastgesteld dat er een passend beschermingsniveau is ingeregeld en geldt het adequaatheidsbesluit

Voor de landen waarvoor het adequaatheidsbesluit niet geldt, heeft de European Data Protection Board (EDPB) aanbevelingen opgesteld als persoonsgegevens naar een derde land worden doorgegeven. Het bedrijf zal met het importerende bedrijf van geval tot geval moeten vaststellen dat de wetgeving of de praktijk van het derde land afbreuk doet aan de passende bescherming van persoonsgegevens. Dit bedrijf kan zowel een verwerkingsverantwoordelijke als een verwerker zijn. De verwerkingsverantwoordelijke blijft altijd eindverantwoordelijk en zal moeten nagaan dat de verwerker de beoordeling juist heeft uitgevoerd. 

Wat is onze aanpak?

De EDPB heeft in haar advies een Data Transfer Impact Assessment (DTIA) opgenomen dat bestaat uit zes stappen.

In hoofdlijnen bestaan de stappen uit: 

  • Weet welke persoonsgegevens u wilt delen met het importerende bedrijf en of de persoonsgegevens door dit bedrijf verder worden doorgegeven. 
  • Verificatie van het overdrachtsinstrument waarop de overdracht rust. De AVG kent in artikel 46 vier overdrachtsinstrumenten. Als voor het derde land een adequaatheidsbesluit geldt, dan bestaat de verificatie uit het vaststellen van de geldigheid hiervan.  
  • Deze stap bestaat uit het nagaan of in de geldende wetgeving en/of praktijken van het derde land zich aspecten bevinden die de passende bescherming kunnen beletten. Met name overheidsinstanties in het derde land kunnen zich bepaalde rechten tot inzage van persoonsgegevens hebben toegekend. 
  • Daarna volgt het vaststellen en goedkeuren van de aanvullende maatregelen die nodig zijn om het beschermingsniveau van de doorgegeven gegevens op het niveau van de EU-norm van essentiële gelijkwaardigheid te brengen. Deze stap is alleen nodig als uit stap 3 is gebleken dat wetgeving en/of praktijk geen voldoende bescherming bieden. 
  • Hier worden de formele procedurele stappen genomen die de vaststelling van de aanvullende maatregelen regelen, afhankelijk van het overdrachtsinstrument. In deze laatste stap wordt het beschermingsniveau periodiek opnieuw geëvalueerd. 
  • In deze stap worden in feite de stappen 1 t/m 5 opnieuw doorlopen. De frequentie is afhankelijk van het risico, de omvang van de gegevensuitwisseling en de gevoeligheid van de persoonsgegevens. 

De stappen moeten aantoonbaar worden vastgelegd en toegankelijk zijn voor de FG en de toezichthouder.  

Hoe kunnen wij u helpen?

We kunnen ons voorstellen dat uw bedrijf terugschrikt van het moeten opstellen van een DTIA. Zeker als het niet vaak nodig is. Wij kunnen uw bedrijf ondersteunen bij het uitvoeren van DTIA’s. Wij leiden uw bedrijf door alle stappen heen en zorgen voor een goede vastlegging.  

Het is mogelijk het uitvoeren van DTIA’s structureel te organiseren met bewustwordings- en trainingprogramma’s en ondersteuning van tooling. 

Heeft u vragen of wilt u een afspraak maken? 

Heeft u vragen over het organiseren, implementeren of uitbouwen van het beschermen van persoonsgegevens? Onze service-eigenaar, André Biesheuvel of één van zijn collega’s, bespreekt graag uw specifieke casus.