De introductie van de nieuwe, gemoderniseerde modelcontractbepalingen (Standard Contractual Clauses, hierna: SCC’s) in juni van dit jaar brengt voor veel organisaties nieuwe uitdagingen met zich mee. Volgens de nieuwe SCC’s moet een verplichte overdrachtseffectbeoordeling (Transfer Impact Assessment, hierna: TIA) worden gemaakt voordat persoonsgegevens de Europese Economische Ruimte mogen verlaten. Deze effectbeoordeling is bedoeld om mogelijke privacyrisico’s bij een internationale gegevensoverdracht te identificeren en beperken.

In de praktijk hebben veel organisaties moeite met het uitvoeren van een TIA. Maar ze zien het wel als een prioriteit om de door de Europese Commissie gestelde deadline voor de nieuwe SCC’s te halen.

In dit artikel leggen we uit dat het uitvoeren van een TIA geen ondoenlijke zaak hoeft te zijn. We beschrijven de belangrijkste elementen en de uitdagingen die je kunt tegenkomen. We leggen uit hoe je een TIA uitvoert, zodat je organisatie aan de nieuwe SCC’s kan voldoen vóór de deadline van de Europese Commissie.

Wat is een internationale gegevensoverdracht?

Er is sprake van een internationale gegevensoverdracht wanneer persoonsgegevens uit de Europese Economische Ruimte (hierna: EER) worden doorgegeven naar één of meer landen buiten de EER. De EER bestaat uit de EU, IJsland, Noorwegen en Liechtenstein. Deze landen buiten de EER worden ook wel ‘derde landen’ genoemd.[1]

Wanneer persoonsgegevens naar buiten de EER worden doorgegeven, is het belangrijk dat in het derde land hetzelfde beschermingsniveau wordt geboden als in de EER-lidstaten. Als je bijvoorbeeld persoonsgegevens van Nederland naar de VS overdraagt, moet hetzelfde beschermingsniveau ook in de VS van toepassing zijn.

Verder is er ook altijd een overdrachtsmechanisme nodig om internationale gegevensoverdrachten mogelijk te maken. Er zijn verschillende overdrachtsmechanismen, zoals adequaatheidsbesluiten, bindende bedrijfsvoorschriften en modelcontractbepalingen (SCC’s). Indien de Europese Commissie een adequaatheidsbesluit[2] over een bepaald land of een bepaalde sector heeft genomen, wordt het niveau van gegevensbescherming in dat land als toereikend beschouwd. Er is dan geen TIA nodig. De SCC’s worden echter het vaakst gebruikt en daarbij is een TIA altijd verplicht.

In de praktijk zien we dat voor gegevensoverdrachten naar niet-adequate derde landen bijna altijd gebruik wordt gemaakt van de SCC’s als het enige beschikbare overdrachtsmechanisme. Daarom is het belangrijk om te weten wat de SCC’s precies zijn.

Wat zijn de SCC’s?

De SCC’s zijn een veel gebruikt juridisch overdrachtsmechanisme. SCC’s zijn gestandaardiseerde en vooraf goedgekeurde modelbepalingen over gegevensbescherming.[3] In de loop van de tijd zijn de SCC’s veranderd. Max Schrems heeft de geldigheid van de Safe Harbor- en Privacy Shield-regelingen betwist en werd in beide gevallen door de rechter in het gelijk gesteld.[4]

Als gevolg van de nietigverklaring van het Privacy Shield heeft het Europese Hof van Justitie aangegeven dat internationale gegevensoverdrachten verplicht beoordeeld moeten worden en dat in bepaalde gevallen aanvullende maatregelen noodzakelijk zijn. De Europese Commissie heeft bevestigd wat het Europees Hof van Justitie in de Schrems II-beschikking heeft geoordeeld, namelijk dat een TIA verplicht is bij het gebruik van de nieuwe SCC’s.[5]

De nieuwe SCC’s zijn gepresenteerd als een update. Het is belangrijk te beseffen dat deze nieuwe SCC’s gevolgen hebben voor de gegevensexporteur én de gegevensimporteur. De gegevensexporteur is de organisatie die gegevens verzendt en de gegevensimporteur is de ontvangende organisatie.

Er geldt ook een implementatieperiode. Tot 27 september 2021 kon je de oude SCC’s nog gebruiken, maar sinds die datum moeten contracten met de nieuwe SCC’s worden afgesloten. Samen met de nieuwe SCC’s is ook een overgangsperiode van 18 maanden geïntroduceerd. Organisaties hebben tot 27 december 2022 de tijd om oude SCC’s om te zetten naar de nieuwe.[6]

Twee andere belangrijke aspecten zijn ‘hiërarchie’ en ‘aansprakelijkheid’. De hiërarchie houdt in dat SCC’s in het geval van tegenstrijdigheden voorrang hebben boven de bepalingen in andere overeenkomsten tussen de partijen, zoals bijvoorbeeld een Master Services Agreement. En de aansprakelijkheid houdt in dat een gegevensimporteur in een derde land zijn aansprakelijkheid nooit volledig mag uitsluiten of afwijzen. Zowel de gegevensimporteur als de gegevensexporteur zijn op deze manier aansprakelijk.

Als je meer wilt weten over de nieuwe SCC’s, kun je onze webinar over dit onderwerp bekijken op onze website: Schrems II: de gevolgen van de nieuwe modelcontractbepalingen.

Nu we duidelijk hebben gemaakt wat een internationale gegevensoverdracht is en wat de nieuwe SCC’s inhouden, kunnen we wat meer vertellen over de TIA zelf.

Wat is een TIA?

Een overdrachtseffectbeoordeling (TIA) is een tool waarmee een organisatie de risico’s kan beoordelen die gepaard gaan met doorgifte van gegevens naar het buitenland. Op dit moment is de vorm van een TIA nog vrij, maar het Europees Comité voor gegevensbescherming (EDPB) heeft wel conceptrichtlijnen opgesteld voor de manier waarop een TIA moet worden gemaakt en de aanvullende maatregelen die kunnen worden genomen om risico’s te beperken.[7]

Als de toezichthouder contact met een gegevensimporteur of gegevensexporteur opneemt om een TIA die bij een overdracht hoort in te zien, dan moet deze informatie altijd worden verstrekt. Dit sluit aan bij verantwoordingsplicht volgens de AVG, dat organisaties verplicht om hun naleving van de AVG te documenteren.[8]

Hoe moet je een TIA uitvoeren?

Een TIA bestaat uit drie stappen:

Stap 1: Verzamel informatie over de toepasselijke verwerkingsactiviteit.

Stap 2: Controleer of er verdere gegevensdoorgifte naar subverwerkers plaatsvindt.

Stap 3: Beoordeel het niveau van privacybescherming in het derde land.

Hoe werkt een TIA-project?

Voordat je aan een TIA kunt beginnen, moet je zorgen dat alle essentiële elementen aanwezig zijn. Allereerst moet je voldoende tijd en budget hebben. Het is daarom verstandig om vóór de start van een TIA-project akkoord van de CEO te krijgen.

Wanneer je dit akkoord hebt, moet je weten of er een functionaris voor gegevensbescherming (DPO) of een privacy officer is die je kunt raadplegen. Zo niet, dan moet je nagaan wie in de organisatie verantwoordelijk is voor de TIA. Een belangrijke competentie voor deze rol is dat deze persoon voldoende kennis moet hebben van de Europese privacywetgeving, met name de AVG.

Om alle internationale gegevensoverdrachten binnen je organisatie in kaart te brengen, is het register van verwerkingen een goede plek om te beginnen. Je moet namelijk een inventarisatie maken van alle leveranciers buiten de EER. Als je nog geen (volledige) register van verwerkingen hebt, moet je er rekening mee houden dat zo’n inventarisatie tijdrovend kan zijn.

Wanneer je een lijst van internationale gegevensoverdrachten hebt gemaakt, heb je ook een duidelijker beeld van alle gegevensexporteurs en -importeurs en van de personen met wie je contact moet opnemen voor het uitvoeren van de TIA. Je kunt dit project niet alléén uitvoeren: de gegevensimporteur en de gegevensexporteur zijn beide verantwoordelijk voor het verstrekken van de benodigde informatie.

Daarom is het een goed idee dat beide partijen afspraken maken over de deadlines en welke bijdrage elke partij moet leveren.

Welke uitdagingen kun je verwachten?

Soms verloopt niet alles volgens plan en dan moet je pragmatisch zijn. Een mogelijke uitdaging is bijvoorbeeld dat je niet beschikt over de juiste expertise. Dit is logisch, want de meeste organisaties hebben niet de luxe van gespecialiseerde medewerkers die zich fulltime kunnen bezighouden met privacy. Als je organisatie wel wat hulp kan gebruiken bij TIA’s, kun je contact opnemen met specialisten op het gebied van gegevensbescherming.

Een andere uitdaging is vaak dat er geen budget en/of geen tijd is voor TIA’s. Houd er rekening mee dat je altijd een budget nodig hebt om een goede TIA uit te voeren. Als je organisatie geen budget beschikbaar stelt voor TIA’s, kan dit later financiële gevolgen hebben voor de organisatie. Denk aan boetes van toezichthouders, reputatieschade en eventuele gerechtelijke stappen tegen de organisatie.

Verder kan het voorkomen dat je geen reactie krijgt van de andere partij. Helaas reageren niet alle partijen op verzoeken om samen een TIA te maken. In dat geval moet je een of twee herinneringen sturen. Als een andere partij dan nog steeds niet reageert of alleen beperkte informatie verstrekt, heb je in principe twee opties:

• Het gebrek aan informatie vormt een duidelijk risico in de TIA. Je kunt de TIA zo goed mogelijk afronden en vervolgens de CEO laten beslissen of het risico acceptabel is.
• Je kunt ook op zoek gaan naar een andere leverancier om het risico uit te sluiten.

Tot slot kan er ook verwarring ontstaan over de rolverdeling. Organisaties vermelden vaak de nieuwe SCC’s op hun website. Het is echter niet aan te raden om deze SCC’s zonder meer te accepteren, omdat de op de website gepubliceerde SCC’s misschien niet passen bij de rolverdeling bij je specifieke gegevensoverdracht.

Conclusie

Al met al hoeft een TIA geen onoverkomelijke zaak te zijn. Als organisaties internationale gegevensoverdrachten kunnen herkennen en weten hoe ze met de nieuwe SCC’s moeten werken, wat een TIA inhoudt en hoe ze een TIA kunnen uitvoeren, staat niets een succesvol TIA-project meer in de weg.

Bij DPO Consultancy hebben we een TIA-sjabloon ontwikkeld waarmee organisaties hun TIA’s efficiënter en gemakkelijker kunnen uitvoeren. Als je organisatie steun kan gebruiken bij TIA’s, de nieuwe SCC’s of de AVG in het algemeen, neem dan gerust contact met ons op via info@dpoconsultancy.nl.

[1] Artikel 44-50 AVG.

[2] Artikel 45 AVG.

[3] Artikel 46 lid 2c AVG.

[4] C‑362/14 Maximillian Schrems v Data Protection Commissioner; C-311/18 Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems.

[5] https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en.

[6] https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en.

[7] Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, Version 2.0.

[8] Artikel 5 lid 2 AVG.