Onlangs zijn er vanuit de European data Protection Board (EDPB) een aantal relevante zaken gepubliceerd die wij u niet willen onthouden[1]. Zo is er een uitbreiding geweest van de groep van landen waarvoor een Adequaatheidsbesluit is genomen, wat bijvoorbeeld relevant is voor de gegevensuitwisseling met het Verenigd Koninkrijk. Daarnaast zijn er nieuwe publicaties geweest met betrekking tot de uitspraak van het Europese Hof van Justitie (het Hof) inzake Schrems II en de doorgifte instrumenten Modelcontracten en Bindende bedrijfsvoorschriften.
Wij adviseren u om kennis te nemen van onderstaande en te beoordelen of- en in welke mate deze recente ontwikkelingen voor uw organisatie van invloed kunnen zijn.
Adequaatheidsbesluit door de Europese Commissie (EC)
Voor een aantal (sectoren binnen) derde landen, heeft de EC een adequaatheidsbesluit genomen. Een adequaatheidsbesluit wil zeggen dat een derde land of een sector in een derde land een passend beschermingsniveau van persoonsgegevens waarborgt overeenkomstig artikel 45 AVG.
Met bovenstaande landen (met uitzondering nog van Zuid Korea) kunnen daardoor buiten de EU al persoonsgegevens uitgewisseld worden zonder dat daarbij naar verwachting de AVG bepalingen in het geding komen.
Instrumenten voor doorgifte van persoonsgegevens aan derde landen
De Verenigde Staten zijn na de buitenwerkingstelling van de Privacy Shield (juli 2020) niet langer een land dat valt onder het adequaatheidsbesluit. Omdat veel pensioenfondsen en/of hun uitbestedingspartners of dienstverleners direct of indirect gebruik maken van Amerikaanse serviceproviders heeft dit besluit van het Hof in potentie grote invloed op de manier waarop naar verwerking van persoonsgegevens door die Amerikaanse partijen gekeken moet worden. Als het goed is heeft u die analyse al gemaakt.
De buitenwerkingstelling van de Privacy Shield heeft voor een versnelling gezorgd van de herijking en aanpassing van bestaande instrumenten voor doorgifte van persoonsgegevens aan zogenaamde derde landen. Dat zijn landen waarvan volgens de EC het beschermingsniveau van persoonsgegevens bij doorgifte niet voldoet aan het EU niveau (en daarmee het AVG niveau) van bescherming. Die versnelde ontwikkeling is op zich goed, maar heeft wel tot gevolg dat er veel nieuwe verantwoordelijkheden zijn terecht gekomen bij de gegevensexporteurs (u dus!) en dat is een minder gewenste situatie. Los van de vraag of organisaties die verantwoordelijkheden wel op een juiste manier kunnen invullen, werkt dit naar verwachting ook veel ‘eigen interpretaties’ in de hand. Weliswaar wordt via formele procedures vanuit de EC getracht om grip te houden op de kwaliteit van eventuele aanvullende maatregelen door bijvoorbeeld goedkeuring van de bevoegde toezichthouder te vereisen, maar de praktijk vraagt naar onze mening om een duidelijke en eenduidige uitleg en uitwerking op EU niveau. Daarbij zal de EC verantwoordelijkheid moeten nemen voor de internationale juridische haken en ogen.
Modelcontracten
Onder verwijzing naar art.49 AVG is het echter nog steeds mogelijk om in specifieke situaties gegevens te delen met derde landen op grond van een per 4 juni 2021 goedgekeurd en vernieuwd modelcontract (ook wel Standard Contractual Clauses of SCC’s). Modelcontracten zijn door de EC goedgekeurde, gestandaardiseerde contractuele afspraken tussen een gegevensexporteur uit de EU en een gegevensimporteur in een derde land. Het vernieuwde modelcontract is in werking getreden per 27 juni 2021 en na die datum mogen oude modelcontracten niet meer worden afgesloten.
Vanuit de EDPB is op 18 juni 2021 de definitieve versie van aanbevelingen ten behoeve van aanvullende maatregelen gepubliceerd. Wij geven echter in overweging dat het beoordelen door een EU organisatie van de wetgeving in een derde land (waarvoor geen adequaatheidsbesluit is genomen) met betrekking tot (on)voldoende waarborgen een complexe zaak is. Organisaties zullen daar wellicht specialistische kennis voor moeten inhuren. Dan hebben we het nog niet gehad over het beoordelen van de ‘praktijk’ en het moeten inschatten van de eventuele noodzaak om aanvullende maatregelen te moeten nemen. Dit lijkt een taak en verantwoordelijkheid die op EU/ EC niveau zou moeten worden geregeld, maar vooralsnog ligt die verantwoordelijkheid (nu nog) bij de gegevens-exporterende organisatie.
Voor de gebruikers van de ‘oude’ modelcontractbepalingen is een overgangsperiode van toepassing van 18 maanden waarbij u dus uiterlijk op 27 december 2022 die bestaande modelcontracten dient te vervangen voor de vernieuwde modelcontracten. Wij adviseren u bij uw uitbestedingspartners en serviceproviders hier navraag naar te doen.
Bindende bedrijfsvoorschriften
Daarnaast kan gebruik gemaakt worden van zogenaamde Bindende bedrijfsvoorschriften (Binding Corporate Rules of BCR’s). ‘Een BCR moet in overeenstemming zijn met de AVG. De Europese privacytoezichthouders moeten eerst de BCR goedkeuren. Daarna moet de EDPB goedkeuring geven’. Daar kan best enige tijd overheen gaan dus als voor deze optie gekozen wordt, moet rekening gehouden worden met het tijdspad.
Voor zowel het gebruik van modelcontracten als bindende bedrijfsvoorschriften dient gewaarborgd te worden dat er sprake is van een gelijkwaardig beschermingsniveau zoals we dat binnen de EU kennen. Om dit proces te versnellen bestaat tussen sommige EU-privacy-toezichthouders (data protection authorities of DPA’s) de afspraak dat de DPA’s elkaars beoordelingen van BCR’s accepteren. Dit wordt ook wel mutual recognition (wederzijdse erkenning) genoemd. Voor zover het nodig is om aanvullende maatregelen te nemen om het beveiligingsniveau bij doorgifte van persoonsgegevens naar een derde land op het noodzakelijke AVG niveau te brengen, is het van belang dat u rekening houdt met eventuele formele voorafgaande goedkeuring daarvan door de bevoegde autoriteit in het derde land of eventuele andere formele bepalingen.
DPIA
Houdt bij het in gebruik nemen van de vernieuwde modelcontracten of het werken onder bindende bedrijfsvoorschriften rekening met een uit te voeren DPIA (mn. in relatie tot het ontvangende land) en eventuele aanpassing van standaard documentatie met betrekking tot privacy zoals de verwerkersovereenkomsten of privacyverklaringen.
DTIA
Met behulp van een Data transfer impact assessment (DTIA) kunt u beoordelen of er aanleiding is om eventuele aanvullende maatregelen te (laten) implementeren. Denk aan bijvoorbeeld encryptie of pseudonimisering. Hoewel het bij gebruik van het vernieuwde modelcontract niet waarschijnlijk is bestaat de kans dat er toch op enig niveau sprake kan zijn van onvoldoende bescherming. Dan moeten aanvullende maatregelen worden genomen.
[1] Voor het samenstellen van deze update hebben wij gebruik gemaakt van een aantal externe bronnen en publicatie zoals EDPB, Einterxion, Hola, De functionaris, VNG, kamerbrieven en de AP.
