Spring naar content

De aanbeveling volgt op het inmiddels bekende “Schrems II”-arrest. Het document is onder andere belangrijk voor het gebruik van de nieuwe SCC’s. De EDPB schetst 5 stappen die je moet doorlopen om de veiligheid van datadoorgifte buiten de EU te waarborgen.

1. Brengt doorgifte in kaart

Een beetje een open deur, maar: breng goed in kaart welke doorgifte precies plaatsvinden en of deze adequaat, relevant en noodzakelijk is voor het doel waarvoor het verkregen is.

2. Gebruik een doorgifte instrument

Dit kunnen bijvoorbeeld Binding Corporate Rules (BCRs), ad hoc contractual clauses of Standard Contractual Clauses (SCCs) zijn. Aanvulling over SCC’s: In de SCC’s leek de Europese Commissie te suggereren dat deze niet hoefden te worden gebruikt voor overdrachten naar landen waarop de AVG al van toepassing is (krachtens artikel 3 lid 2 AVG). Dit is bijvoorbeeld het geval wanneer de ontvangende partij producten of diensten aanbiedt aan personen in de EU, of het gedrag monitort van personen in de EU.Hierbij gaat het om de discussie of de fysieke verplaatsing van data leidend is, of die van de jurisdictie van de data. De aanbevelingen van de EDPB pakken dit probleem helaas niet direct aan. Wel wordt gesuggereerd dat jurisdictie over gegevens relevant kan zijn. Hiermee lijken ze dus mee te gaan in de visie van de Europese Commissie.

3. Bepaal of het doorgifte-instrument voldoende en veilig is

Een uitgebreide bijlage bij de aanbevelingen schetst de soorten bronnen die kunnen worden gebruikt bij het uitvoeren van deze analyse. Opvallend hierbij is dat de praktische waarschijnlijkheid dat overheidsinstanties zichzelf daadwerkelijk toegang mogen verschaffen tot de data mee mag worden gemogen. Zo raadt de EDPB bedrijven aan om naar de ervaringen te vragen van de partijen met wie zij zaken doen in het derde land. Heeft die partij weleens te maken gehad met bijvoorbeeld een inlichtingendienst die persoonsgegevens vorderde? Ook de aard en gevoeligheid van de persoonsgegevens zelf mogen worden meegenomen. Dit verbreedt de reikwijdte van toegestane datadoorgifte. Hiermee hanteert de EDPB een ‘risk based approach’. Zelfs als de tekst van de wetten van het importerende land in theorie niet voldoet aan de EU-vereisten, kan er dus toch worden doorgegeven.

4. Kies aanvullende maatregelen die nodig zijn

De EDPB stuurt aan op het gebruik van bovengenoemde doorgifte-instrumenten in combinatie met aanvullende maatregelen, om zo te zorgen voor een gelijkwaardig niveau van bescherming. Het document bevat een niet-limitatieve lijst met aanvullende maatregelen die kunnen worden genomen. Ik licht er hier drie opvallende uit:

  • Encryptie
    Net als bij het eerste concept van de aanbevelingen wordt encryptie aangeboden als voorbeeld van een aanvullende maatregel die voor voldoende bescherming kan zorgen, mits de cryptografische functie voldoende sterk is en de encryptiesleutel niet toegankelijk is voor overheidsinstanties in het ontvangende land. De definitieve versie bevat echter een zekere mate van onzekerheid over het gebruik van encryptie. Er wordt benadrukt dat “de beschermingscapaciteit van cryptografische algoritmen in de loop van de tijd kan afnemen” naarmate de rekenkracht en technieken verbeteren. Encryptie moet daarom worden gezien als een tijdgebonden oplossing: een impliciete oproep tot kortere bewaartermijnen om te voorkomen dat encryptie-algoritmen na verloop van tijd worden gekraakt.
  • Pseudonimisering
    Bovenstaande heeft ook gevolgen voor pseudonimisering, in ieder geval voor zover de persoonsgegevens worden gepseudonimiseerd met behulp van een cryptografisch algoritme. De EDPB geeft aan dat “het voortaan wordt aanbevolen af ​​te zien van het exclusieve gebruik van cryptografie en transformaties toe te passen op basis van mechanismen voor het opzoeken van tabellen.”Hoewel de EDPB op andere punten encryptie blijft omschrijven als een voldoende aanvullende maatregel (mits de cryptografische functie voldoende sterk is en de sleutel niet toegankelijk is voor de gegevensimporteur), zou deze passage een voorkeur kunnen suggereren voor het mengen van encryptie met pseudonimisering.
  • Verhaal: Een van de redenen waarom het Privacy Shield ongeldig is verklaard, was het ontbreken van voldoende mogelijkheden onder de Amerikaanse wetgeving waarmee betrokkenen verhaal kunnen halen voor vermeende schendingen. In de definitieve aanbevelingen biedt de EDPB een nieuwe voorgestelde maatregel: organisaties kunnen contractuele voorwaarden invoeren om schadevergoeding te vorderen van de gegevensimporteur.

5. Documenteer bovenstaande analyse

De bovenstaande analyse moet worden gedocumenteerd in een rapport. Hierin moet zijn beschreven:(1) de wetgeving en praktijken van het derde land die relevant zijn voor de overdracht,
(2) de procedure die is gevolgd om de beoordeling op te stellen,
(3) de data waarop de beoordeling en eventuele daaropvolgende controles hebben plaatsgevonden.

6. Evalueer opnieuw met gepaste tussenpozen

De analyse is natuurlijk niet onbeperkt geldig. Zorg er dus voor dat je de analyse periodiek evalueert.

Nieuw tijdperk voor internationale datadoorgifte

De publicatie van de definitieve aanbevelingen van de EDPB, samen met de herziene SCC’s, markeren het begin van een nieuw tijdperk voor internationale datadoorgifte. Hoewel bedrijven de meer pragmatische benadering van de EDPB in de definitieve aanbevelingen ongetwijfeld verwelkomen, blijven de nieuwe vereisten bijzonder zwaar. Het naleven ervan blijft voor de meeste bedrijven en juristen een enorme uitdaging.

Lid van DDMA en heb je een vraag? Stuur een mailtje naar legal@ddma.nl

Naomi van der Louw

Legal counsel

Ook interessant

Lees meer
Conversion Rate Optimisation |

Dark patterns – wat mag wel en niet volgens de EDPB

De European Data Protection Board (EDPB – koepel van alle Europese privacytoezichthouders) heeft nieuwe guidelines vastgesteld over het herkennen en vermijden van dark patterns op sociale media. De guideline is…
Lees meer
Legal |

Europees akkoord op nieuwe regels voor digitale diensten

In de nacht van vrijdag 23 op zaterdag 24 april hebben de Europese instellingen (wederom) bewezen dat niet alle wetgevingsprocessen langdurig zijn. Rond de klok van twee is er namelijk…
Lees meer
Legal |

Striktere regels voor onlinemarktplaatsen, gebruikersreviews en gepersonaliseerde prijzen

Het (online) consumentenrecht verandert per 28 mei 2022. Vanaf die datum is de Moderniseringsrichtlijn van toepassing. De richtlijn introduceert allerlei nieuwe consumentenregels waar bedrijven rekening mee moeten houden. Voor online…