Menu

Zoek op
rubriek
Data&Privacyweb
0

Eindelijk uitsluitsel? De aanbeveling van de EDPB over aanvullende maatregelen voor de doorgifte van gegevens

Het lijkt erop dat de doorgifte van persoonsgegevens dit jaar helemaal “hip en happening” is. Niet alleen heeft de Europese Commissie de - lang verwachte - geactualiseerde Modelcontractbepalingen (Standard Contractual Clauses - “SCC's”) gepubliceerd en is de lange weg naar de vaststelling van het adequaatheidsbesluit voor de Republiek Korea (Zuid-Korea) ingeslagen, ook heeft de Europese Commissie het adequaatheidsbesluit voor het Verenigd Koninkrijk vastgesteld. In dit blog gaan wij echter dieper in op de laatste aanbeveling die het Europees Comité voor gegevensbescherming (European Data Protection Board - “EDPB”) op 18 juni 2021 heeft aangenomen. Deze aanbeveling betreft maatregelen ter aanvulling op doorgifte-instrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de EU te waarborgen. In november van vorig jaar hebben wij al wat informatie gegeven over de conceptversie van deze aanbeveling. In deze bijdrage zetten we de schijnwerper op de definitieve versie en de bijbehorende implicaties.

12 jul 2021

Achtergrond artikelen

Achtergrond artikelen

Korte samenvatting

In juli vorig jaar zette het Hof van Justitie van de EU (“HvJ’) niet alleen een streep door het Privacy Shield-mechanisme, het nam ook de huidige SCC's onder de loep. Hoewel het HvJ deze standaardbepalingen geldig achtte, gaf het aan dat de gegevensexporteur voorafgaand aan de doorgifte dient te verifiëren of het derde land waarin de ontvangende partij zich bevindt, hetzelfde beschermingsniveau kan bieden als de AVG. Volgens het HvJ moesten bovendien, waar nodig, aanvullende maatregelen worden genomen.

Hierdoor bleven gegevensexporteurs en -importeurs met twee belangrijke vragen zitten:

  • Hoe weten we of een derde land in een beschermingsniveau kan voorzien dat voldoet aan de eisen? En:

  • Met welke maatregelen kunnen potentiële twijfels en gevaren worden weggenomen?

De EDPB heeft gepoogd deze - valide - vragen te beantwoorden.

De praktijk in een derde land beoordelen (i)

Gegevensexporteurs dienen hun blik niet alleen te richten op de wetgeving die in het ontvangende land van kracht is, maar ook op de gangbare praktijken in dat land. Deze aanbeveling is aan de uiteindelijke versie van het document toegevoegd. Deze aanbeveling is met name relevant in het geval:

  • de wetgeving in het derde land officieel wel aan de Europese normen voldoet, maar in de praktijk duidelijk niet wordt nageleefd;

  • er, bij afwezigheid van relevante wetgeving in het derde land, sprake is van praktijken die niet stroken met de verplichtingen van de doorgifte-instrumenten;

  • de overgedragen gegevens en/of de importeur (mogelijk) onder de noemer “problematische wetgeving” vallen (d.w.z. inbreuk maken op de contractuele garantie dat het doorgifte-instrument een wezenlijk gelijkwaardig beschermingsniveau biedt en niet aan de Europese normen t.a.v. fundamentele rechten, noodzaak en evenredigheid voldoen).

Uit de aanbeveling volgt dat indien een van de eerste twee hierboven genoemde situaties zich voordoet en er geen adequate aanvullende maatregelen kunnen worden genomen, de doorgifte onmiddellijk moet worden opgeschort. Ten opzichte van de derde situatie neemt de EDPB een iets minder strikte houding aan: “u kunt besluiten (i) de doorgifte op te schorten, (ii) aanvullende maatregelen in te voeren teneinde met de doorgifte verder te gaan of, subsidiair, (iii) u kunt besluiten met de doorgifte door te gaan zonder aanvullende maatregelen te treffen indien u overweegt en in staat bent middels documentatie aan te tonen dat u geen aanleiding heeft om aan te nemen dat relevante en problematische wetgeving zo wordt uitgelegd en/of in de praktijk zo wordt toegepast dat uw gegevens en importeur daaronder vallen.

Hoe het ook zij, de beoordeling dient goed gedocumenteerd te worden en de gehele “keten van doorgiftes” te beslaan, dus ook alle verdere verwerkingen (onward transfers), bijvoorbeeld als verwerkers sub-verwerkers in de arm hebben genomen. Naast algemene onderdelen zoals de verwerkingsdoelen en relevante categorieën van persoonsgegevens, kan bijvoorbeeld ook de volgende informatie in de beoordeling worden betrokken:

  • De vraag of in het licht van wetgeving, praktijk en gedocumenteerde eerdere gevallen de overheidsinstanties van het derde land zich met of zonder medeweten van de gegevensimporteur toegang kunnen verschaffen tot de gegevens;

  • De vraag of in het licht van wetgeving, wettelijke bevoegdheden, ter beschikking staande technische, financiële en personele middelen en gedocumenteerde eerdere gevallen, de overheidsinstanties van het derde land zich via de gegevensimporteur of via de telecom-providers of communicatiekanalen toegang kunnen verschaffen tot de gegevens.

Aanvullende maatregelen (ii)

Aanvullende maatregelen dienen van geval tot geval te worden beoordeeld. Volgens de EDPB hoeft de beoordeling echter niet bij elke gelijkwaardige doorgifte onder gelijkwaardige omstandigheden opnieuw plaats te vinden. Bij de beoordeling of maatregelen geschikt zijn of niet, dienen de volgende factoren in acht te worden genomen:

  • de vorm waarin de gegevens worden doorgegeven (bijvoorbeeld versleuteld, gepseudonimiseerd, of platte tekst);

  • de aard van de gegevens;

  • de lengte en complexiteit van de keten van doorgifte; en

  • variabelen in de praktische toepassing van de wetten van het derde land.

Vereisten voor de informatiebronnen

De EDPB heeft daarnaast het een en ander verteld over de kwaliteit van de bronnen. De voor de beoordeling te gebruiken informatiebronnen moeten aan bepaalde vereisten voldoen. Zo moeten de bronnen:

  • betrekking hebben op de specifieke doorgifte en/of importeur en niet al te algemeen zijn;

  • objectief zijn en gebaseerd op empirisch bewijs en kennis, niet op aannames;

  • betrouwbaar zijn;

  • verifieerbaar zijn, aangezien de autoriteiten de informatie zo nodig moeten kunnen checken;

  • zich in het publieke domein bevinden of anderszins openbaar toegankelijk zijn.

Gedocumenteerde ervaringen van de importeur met relevante eerdere verzoeken van overheidsinstanties in het derde land om toegang te krijgen, mogen ook in de beoordeling worden meegenomen. Daar staat tegenover dat de afwezigheid van zulke eerdere verzoeken op zich in geen geval als doorslaggevende factor ten aanzien van de effectiviteit van het doorgifte-instrument kan worden beschouwd.

Tot slot

Hoewel de EDPB wat meer richtsnoeren heeft aangeleverd over hoe men doorgiftes zou moeten beoordelen, blijven we toch met wat zorgen zitten over de zeker niet denkbeeldige mogelijkheid van rechtmatige doorgiftes, zoals we in onze vorige blog over dit onderwerp al concludeerden. Het valt te begrijpen dat de toezichthoudende autoriteiten geen kant-en-klare voorbeeldsituaties kunnen leveren. Aan de andere kant is het wellicht te veel gevraagd om de beoordeling van zowel het toepasselijk recht als geschikte aanvullende maatregelen aan de gegevensexporteur (en -importeurs) over te laten.

Voor de te nemen stappen verwijzen wij naar onderstaande tabel.

Stappen

Toelichting

Actiepunten

1. Ken uw doorgiftes

De eerste stap houdt in dat u volledig op de hoogte bent van alle doorgiftes in uw organisatie. Deze stap is essentieel als u aan uw verplichtingen op grond van het verantwoordingsbeginsel wilt voldoen.

  • Gegevensverwerkingen in kaart brengen en vastleggen;

  • Vergeet niet om ook verdere verwerkingen [onward transfers] mee te nemen, bijvoorbeeld als verwerkers sub-verwerkers in de arm hebben genomen;

  • Verder moet worden bekeken of de in kaart gebrachte doorgiften adequaat en relevant zijn en zich beperken tot wat nodig is voor de doeleinden waarvoor de persoonsgegevens worden doorgegeven.

2. Controleer de instrumenten voor doorgifte waar u mee werkt

Sinds Schrems-II kunnen de volgende instrumenten worden gebruikt als basis voor doorgifte:

  • Adequaatheidsbesluiten [Adequacy Decisions];

  • Modelcontractbepalingen [Standard Contractual Clauses of SCC's];

  • Bindende bedrijfsvoorschriften [Binding Corporate Rules of BCR's];

  • Gedragscodes [Codes of Conduct];

  • Certificatieschema's [Certification mechanisms];

  • Ad-hoc contractbepalingen [Ad Hoc contractual clauses].

Daarnaast kan in een beperkt aantal gevallen, bijv. bij incidentele doorgiftes, een beroep worden gedaan op de uitzonderingen van artikel 49 AVG.

  • Indien de doorgifte noch rechtsgeldig op een adequaatheidsbesluit noch op een in artikel 49 AVG genoemde uitzondering rust, moet u met stap 3 verder gaan;

  • Indien de doorgifte wel rechtsgeldig op een adequaatheidsbesluit rust, is het zaak er rekening mee te houden dat u moet nagaan of adequaatheidsbesluiten die voor uw doorgiftes van belang zijn, intussen zijn ingetrokken of ongeldig zijn verklaard.

3. Beoordelen doeltreffendheid van het instrument voor doorgifte tegen het licht van de omstandigheden

Doeltreffend wil zeggen dat de doorgegeven persoonsgegevens in het derde land een beschermingsniveau genieten dat in feite gelijkwaardig is aan het in de EER gewaarborgde niveau. Dit is niet het geval als de gegevensimporteur niet aan diens verplichtingen onder het op grond van artikel 46 AVG gekozen doorgifte-instrument kan voldoen als gevolg van de in het derde land op de doorgifte toepasselijke wetgeving en praktijken.

  • Neem alle bij de doorgifte betrokken partijen in aanmerking;

  • Bekijk de kenmerken van iedere doorgifte en controleer de binnenlandse wet- en regelgeving van het land waarnaar de gegevens worden doorgegeven;

  • Let vooral op relevante wetgeving en praktijken, met name wetgeving op grond waarvan persoonsgegevens moeten worden bekendgemaakt aan overheidsinstanties of op grond waarvan deze overheidsinstanties toegang tot persoonsgegevens kunnen krijgen;

  • De Europese Essentiële Garanties (European Essential Guarantees - EEG) zijn aanbevelingen die richtsnoeren aanreiken op grond waarvan kan worden beoordeeld of toezichtsmaatregelen die de toegang tot persoonsgegevens door overheidsinstanties in een derde land mogelijk maken, al dan niet als een gerechtvaardigde inmenging kunnen worden beschouwd.

4. Aanvullende maatregelen

Als uit stap 3 blijkt dat de wetgeving van het derde land van invloed is op de doeltreffendheid van het op grond van artikel 46 AVG gekozen instrument voor doorgifte, moet worden overwogen of aanvullende maatregelen bestaan, die - naast de waarborgen van het gekozen instrument voor doorgifte - nodig zijn om in het derde land de persoonsgegevens een gelijkwaardig beschermingsniveau te bieden als onder de AVG.

Het EDPB maakt onderscheid tussen contractuele, technische en organisatorische maatregelen. Contractuele en organisatorische maatregelen bieden op zichzelf niet voldoende bescherming tegen inmenging in of toegang tot persoonsgegevens door overheidsinstanties in het derde land.

  • Er dient per geval te worden beoordeeld welke aanvullende maatregelen, bij gebruik van een bepaald doorgifte-instrument op basis van artikel 46 AVG, doeltreffend zijn ten aanzien van de doorgifte van gegevens naar een bepaald derde land;

  • Als u besluit met de doorgifte door te gaan, in weerwil van het feit dat de ontvangende partij niet aan de verplichtingen van het instrument kan voldoen, dient u conform de specifieke bepalingen van het relevante doorgifte-instrument op basis van artikel 46 AVG, de betreffende toezichthoudende autoriteit in kennis te stellen.

5. Procedurele stappen

Er zijn verschillende procedurele stappen te nemen in het geval u doeltreffende aanvullende maatregelen hebt vastgesteld. Dit hangt af van het doorgifte-instrument dat u op grond van artikel 46 AVG gebruikt of wil gebruiken.

  • Neem de noodzakelijke procedurele stappen.

6. Continue herbeoordeling

Op continue basis, zo mogelijk in overleg met gegevensimporteurs, moet worden nagegaan of er zich ontwikkelingen hebben voorgedaan (of zich naar verwachting zullen voordoen) in het derde land die van invloed kunnen zijn op de eerder gemaakte analyse van het beschermingsniveau en de op basis daarvan gemaakte beslissingen. De verantwoordingsplicht van artikel 5.2 AVG is een duurverplichting.

  • Er dienen degelijke mechanismen aanwezig te zijn die het toelaten dat doorgiftes ogenblikkelijk kunnen worden opgeschort of beëindigd indien:

- de gegevensimporteur de verplichtingen krachtens het doorgifte-instrument van artikel 46 AVG heeft geschonden of niet kan nakomen; of

- de aanvullende maatregelen niet langer doeltreffend blijken in het betreffende derde land.

Wilt u meer weten over doorgifte van persoonsgegevens? Robert van den Hoven van Genderen bespreekt dit onderwerp tijdens zijn lezing op de Kennismarkt van Data&Privacyweb op 7 december 2021.

AKD

Artikel delen

Reacties

Laat een reactie achter

U moet ingelogd zijn om een reactie te plaatsen.