De aanbeveling volgt op het inmiddels bekende “Schrems II”-arrest. Het document is onder andere belangrijk voor het gebruik van de nieuwe SCC’s. De EDPB schetst 5 stappen die je moet doorlopen om de veiligheid van datadoorgifte buiten de EU te waarborgen.
1. Brengt doorgifte in kaart
Een beetje een open deur, maar: breng goed in kaart welke doorgifte precies plaatsvinden en of deze adequaat, relevant en noodzakelijk is voor het doel waarvoor het verkregen is.
2. Gebruik een doorgifte instrument
Dit kunnen bijvoorbeeld Binding Corporate Rules (BCRs), ad hoc contractual clauses of Standard Contractual Clauses (SCCs) zijn. Aanvulling over SCC’s: In de SCC’s leek de Europese Commissie te suggereren dat deze niet hoefden te worden gebruikt voor overdrachten naar landen waarop de AVG al van toepassing is (krachtens artikel 3 lid 2 AVG). Dit is bijvoorbeeld het geval wanneer de ontvangende partij producten of diensten aanbiedt aan personen in de EU, of het gedrag monitort van personen in de EU.Hierbij gaat het om de discussie of de fysieke verplaatsing van data leidend is, of die van de jurisdictie van de data. De aanbevelingen van de EDPB pakken dit probleem helaas niet direct aan. Wel wordt gesuggereerd dat jurisdictie over gegevens relevant kan zijn. Hiermee lijken ze dus mee te gaan in de visie van de Europese Commissie.
3. Bepaal of het doorgifte-instrument voldoende en veilig is
Een uitgebreide bijlage bij de aanbevelingen schetst de soorten bronnen die kunnen worden gebruikt bij het uitvoeren van deze analyse. Opvallend hierbij is dat de praktische waarschijnlijkheid dat overheidsinstanties zichzelf daadwerkelijk toegang mogen verschaffen tot de data mee mag worden gemogen. Zo raadt de EDPB bedrijven aan om naar de ervaringen te vragen van de partijen met wie zij zaken doen in het derde land. Heeft die partij weleens te maken gehad met bijvoorbeeld een inlichtingendienst die persoonsgegevens vorderde? Ook de aard en gevoeligheid van de persoonsgegevens zelf mogen worden meegenomen. Dit verbreedt de reikwijdte van toegestane datadoorgifte. Hiermee hanteert de EDPB een ‘risk based approach’. Zelfs als de tekst van de wetten van het importerende land in theorie niet voldoet aan de EU-vereisten, kan er dus toch worden doorgegeven.
4. Kies aanvullende maatregelen die nodig zijn
De EDPB stuurt aan op het gebruik van bovengenoemde doorgifte-instrumenten in combinatie met aanvullende maatregelen, om zo te zorgen voor een gelijkwaardig niveau van bescherming. Het document bevat een niet-limitatieve lijst met aanvullende maatregelen die kunnen worden genomen. Ik licht er hier drie opvallende uit:
- Encryptie
Net als bij het eerste concept van de aanbevelingen wordt encryptie aangeboden als voorbeeld van een aanvullende maatregel die voor voldoende bescherming kan zorgen, mits de cryptografische functie voldoende sterk is en de encryptiesleutel niet toegankelijk is voor overheidsinstanties in het ontvangende land. De definitieve versie bevat echter een zekere mate van onzekerheid over het gebruik van encryptie. Er wordt benadrukt dat “de beschermingscapaciteit van cryptografische algoritmen in de loop van de tijd kan afnemen” naarmate de rekenkracht en technieken verbeteren. Encryptie moet daarom worden gezien als een tijdgebonden oplossing: een impliciete oproep tot kortere bewaartermijnen om te voorkomen dat encryptie-algoritmen na verloop van tijd worden gekraakt. - Pseudonimisering
Bovenstaande heeft ook gevolgen voor pseudonimisering, in ieder geval voor zover de persoonsgegevens worden gepseudonimiseerd met behulp van een cryptografisch algoritme. De EDPB geeft aan dat “het voortaan wordt aanbevolen af te zien van het exclusieve gebruik van cryptografie en transformaties toe te passen op basis van mechanismen voor het opzoeken van tabellen.”Hoewel de EDPB op andere punten encryptie blijft omschrijven als een voldoende aanvullende maatregel (mits de cryptografische functie voldoende sterk is en de sleutel niet toegankelijk is voor de gegevensimporteur), zou deze passage een voorkeur kunnen suggereren voor het mengen van encryptie met pseudonimisering. - Verhaal: Een van de redenen waarom het Privacy Shield ongeldig is verklaard, was het ontbreken van voldoende mogelijkheden onder de Amerikaanse wetgeving waarmee betrokkenen verhaal kunnen halen voor vermeende schendingen. In de definitieve aanbevelingen biedt de EDPB een nieuwe voorgestelde maatregel: organisaties kunnen contractuele voorwaarden invoeren om schadevergoeding te vorderen van de gegevensimporteur.
5. Documenteer bovenstaande analyse
De bovenstaande analyse moet worden gedocumenteerd in een rapport. Hierin moet zijn beschreven:(1) de wetgeving en praktijken van het derde land die relevant zijn voor de overdracht,
(2) de procedure die is gevolgd om de beoordeling op te stellen,
(3) de data waarop de beoordeling en eventuele daaropvolgende controles hebben plaatsgevonden.
6. Evalueer opnieuw met gepaste tussenpozen
De analyse is natuurlijk niet onbeperkt geldig. Zorg er dus voor dat je de analyse periodiek evalueert.
Nieuw tijdperk voor internationale datadoorgifte
De publicatie van de definitieve aanbevelingen van de EDPB, samen met de herziene SCC’s, markeren het begin van een nieuw tijdperk voor internationale datadoorgifte. Hoewel bedrijven de meer pragmatische benadering van de EDPB in de definitieve aanbevelingen ongetwijfeld verwelkomen, blijven de nieuwe vereisten bijzonder zwaar. Het naleven ervan blijft voor de meeste bedrijven en juristen een enorme uitdaging.
Lid van DDMA en heb je een vraag? Stuur een mailtje naar legal@ddma.nl.