Een DTIA laten uitvoeren?

De Algemene Verordening Gegevensbescherming (AVG) is een wettelijk afsprakenstelsel waarin is vastgelegd wanneer persoonsgegevens verwerkt mogen worden en onder welke voorwaarden. Bedrijven die persoonsgegevens verwerken in de EU en bedrijven van buiten de EU die persoonsgegevens in de EU willen verwerken, hebben zich (aantoonbaar) te houden aan de AVG.

Binnen de EU worden alle bedrijven geacht zich aan de AVG te houden. De leiding van het bedrijf is verantwoordelijk en de functionarissen voor gegevensbescherming (FG) en de Autoriteit Persoonsgegevens hebben een toezichthoudende taak. Ook kan een betrokkene een bedrijf aanspreken om zich te verantwoorden over de verwerking van diens persoonsgegevens en is er ook een mogelijkheid tot het indienen van een klacht bij de Autoriteit Persoonsgegevens (AP) of het aangaan van een civiele procedure bij de rechtbank.

Buiten de EU is de AVG niet van kracht. Echter, bedrijven in de EU moeten voor hun bedrijfsactiviteiten soms persoonsgegevens delen met een bedrijf buiten de EU. Dat bedrijf buiten de EU kan zowel de rol van (sub)verwerker krijgen of als een verwerkingsverantwoordelijke de gegevens verwerken. Dit wordt doorgifte van persoonsgegevens genoemd.

Als persoonsgegevens buiten de EU worden gedeeld, kunnen de rechten van betrokkenen mogelijk geschaad worden als niet vastgesteld is dat de partij buiten de EU de persoonsgegevens goed beschermt. De EU heeft de wetgeving van diverse landen buiten de EU beoordeeld als gelijkwaardig als de AVG. Voor deze landen is vastgesteld dat er een passend beschermingsniveau is ingeregeld en geldt het adequaatheidsbesluit.

Voor de landen waarvoor het adequaatheidsbesluit niet geldt, heeft de European Data Protection Board (EDPB) aanbevelingen opgesteld als persoonsgegevens naar een derde land worden doorgegeven. Het bedrijf zal met het importerende bedrijf van geval tot geval moeten vaststellen dat de wetgeving of de praktijk van het derde land afbreuk doet aan de passende bescherming van persoonsgegevens. Dit bedrijf kan zowel een verwerkingsverantwoordelijke als een verwerker zijn. De verwerkingsverantwoordelijke blijft altijd eindverantwoordelijk en zal moeten nagaan dat de verwerker de beoordeling juist heeft uitgevoerd.

Hoe kunnen wij u helpen?

Neem gerust contact met ons op via +31 (0) 70 392 22 09 of info@duthler.nl. Maak een afspraak met Caroline Willemse, de service-eigenaar ‘beschermen van persoonsgegevens’, of een professional van haar team.

Download hier de factsheet

Download hier de factsheet ‘Data Transfer Impact Assessment (DTIA)’.

Wat moet u doen alvorens gegevens doorgegeven mogen worden?

De EDPB heeft in haar advies een Data Transfer Impact Assessment (DTIA) opgenomen dat bestaat uit zes stappen. In hoofdlijnen bestaan de stappen uit:

  • Stap 1: Weet welke persoonsgegevens u wilt delen met het importerende bedrijf en of de persoonsgegevens door dit bedrijf verder worden doorgegeven.
  • Stap 2: Verificatie van het overdrachtsinstrument waarop de overdracht rust. De AVG kent in artikel 46 vier overdrachtsinstrumenten. Als voor het derde land een adequaatheidsbesluit geldt, dan bestaat de verificatie uit het vaststellen van de geldigheid hiervan.
  • Stap 3: Deze stap bestaat uit het nagaan of in de geldende wetgeving en/of praktijken van het derde land zich aspecten bevinden die de passende bescherming kunnen beletten. Met name overheidsinstanties in het derde land kunnen zich bepaalde rechten tot inzage van persoonsgegevens hebben toegekend.
  • Stap 4: Daarna volgt het vaststellen en goedkeuren van de aanvullende maatregelen die nodig zijn om het beschermingsniveau van de doorgegeven gegevens op het niveau van de EU-norm van essentiële gelijkwaardigheid te brengen. Deze stap is alleen nodig als uit stap 3 is gebleken dat wetgeving en/of praktijk geen voldoende bescherming bieden.
  • Stap 5: Hier worden de formele procedurele stappen genomen die de vaststelling van de aanvullende maatregelen regelen, afhankelijk van het overdrachtsinstrument. In deze laatste stap wordt het beschermingsniveau periodiek opnieuw geëvalueerd.
  • Stap 6: In deze stap worden in feite de stappen 1 t/m 5 opnieuw doorlopen. De frequentie is afhankelijk van het risico, de omvang van de gegevensuitwisseling en de gevoeligheid van de persoonsgegevens.

De stappen moeten aantoonbaar worden vastgelegd en toegankelijk zijn voor de FG en de toezichthouder.

Heeft u vragen of behoefte aan een afspraak?

We kunnen ons voorstellen dat uw bedrijf terugschrikt van het moeten opstellen van een DTIA. Zeker als het niet vaak nodig is. Wij kunnen uw bedrijf ondersteunen bij het uitvoeren van DTIA’s. Wij leiden uw bedrijf door alle stappen heen en zorgen voor een goede vastlegging.

Neem gerust contact met ons op via +31 (0) 70 392 22 09 of info@duthler.nl. Of neem hieronder contact op met onze specialisten.