Wat is een DTIA?
In onze eerdere blog over de Data Protection Impact Assessment (DPIA) hebben wij uitgelegd wat een DPIA precies is. Hiermee breng je vooraf de privacyrisico’s in kaart van een verwerking van persoonsgegevens.
Bij een Data Transfer Impact Assessment (DTIA) doe je dit voor de mogelijke privacyrisico’s wanneer je persoonsgegevens deelt met een ontvanger buiten de Europese Economische Ruimte (EER). Kort gezegd is een DTIA dus een risicobeoordeling voor de doorgifte van persoonsgegevens naar derde landen.
Op deze manier kun je de risico’s die het delen van persoonsgegevens met landen buiten de EER met zich meebrengt, wegnemen of verkleinen door maatregelen te nemen.
Waarom voer je een DTIA uit?
Binnen de EER hebben we een hoog beschermingsniveau van persoonsgegevens dankzij de AVG; hierdoor is binnen de EER vrij verkeer van persoonsgegevens mogelijk. Maar als we persoonsgegevens delen met landen buiten de EER mag dit alleen als er sprake is van een passend beschermingsniveau. Als er geen passend beschermingsniveau is, moet er gekeken worden naar passende maatregelen.
Om dit beschermingsniveau te waarborgen, heeft de Europese Commissie een modelcontract opgesteld: de Standard Contractual Clauses. De SCC’s bieden een waarborg voor het delen van persoonsgegevens met derde landen.
Daarnaast bestaan er landen met een adequaatheidsbesluit. Deze landen bieden volgens de Commissie een beschermingsniveau dat gelijk is aan de AVG, waardoor het veilig is gegevens te delen. Recentelijk heeft de Commissie besloten dat de Verenigde Staten een voldoende adequaat beschermingsniveau hebben bereikt; lees hier meer over in onze blog.
Bij het ontbreken van een adequaatheidsbesluit is het ondertekenen van een SCC dus een oplossing. Maar vergeet dan niet een DTIA uit te voeren. Dit volgt uit de zogeheten Schrems II-uitspraak en werd bevestigd door de Ierse privacytoezichthouder (lees hier onze blog over de boete van de Ierse toezichthouder aan Meta). Volgens de toezichthouder moest er door Meta een risicobeoordeling uitgevoerd worden die betrekking heeft op de specifieke doorgifte van de betreffende gegevens. Dit is de DTIA.
Wat moet er in ieder geval in een DTIA worden meegenomen?
Helaas staan er in de AVG geen vormvereisten voor het uitvoeren van een DTIA. Toch zijn er een aantal aspecten die in ieder geval terug moeten komen in een gedegen DTIA. De European Data Protection Board (EDPB) heeft een aantal aanbevelingen op een rijtje gezet:
- Allereerst is het belangrijk om te kijken naar de privacywetgeving van het land waarmee je persoonsgegevens deelt. Het is van belang dat het betreffende land zelf ook passende maatregelen treft om persoonsgegevens goede bescherming te bieden.
- Naast wetgeving spelen de aanwezigheid van aanvullende maatregelen zoals technische en organisatorische maatregelen een rol.
- Verder is het van belang om te kijken naar wat degene waarmee jij de gegevens deelt met deze gegevens gaat doen. En daarnaast of de verwerking van de betreffende gegevens een groot risico voor de betrokkenen met zich meebrengt. De risico’s zijn immers groter wanneer de persoonsgegevens gedeeld worden met een grote hostingprovider dan wanneer het gaat om kleine ondernemingen die minder (gevoelige) gegevens verwerken.
Op basis van de relevante informatie over het beschermingsniveau van persoonsgegevens in het betreffende land kan een risicobeoordeling worden gemaakt.
Vervolgens kun je de afweging maken of het verantwoord is om de persoonsgegevens ook daadwerkelijk te delen met de organisatie in het derde land. Daarbij is het belangrijk om na te gaan of de doorgifte van gegevens echt noodzakelijk is, of dat er misschien ook mogelijkheden binnen de EER bestaan.
Hulp nodig?
Wil jij meer weten over het opzetten en uitvoeren van een DTIA? Of wil je weten of het voor jou noodzakelijk is om een DTIA uit te voeren? Wij kunnen je adviseren en ondersteunen in het proces.
Je kunt contact met ons opnemen via info@privacycoaches.nl.