Internationale datatransfers goed regelen: het start met structuur

Het lijkt voor Nederlandse organisaties steeds complexer te worden om persoonsgegevens AVG-proof te delen met organisaties buiten de Europese Unie. Wat staat ons te doen om datatransfers naar derde landen goed te regelen? Jonathan Toornstra van Considerati vertelt over de uitdagingen, ontwikkelingen en oplossingen.

“De afgelopen jaren – met name tussen 2017 en 2020 – zijn organisaties veel bezig geweest met het begrijpen en toepassen van de Algemene verordening gegevensbescherming (AVG). Met de komst van de AVG is veel in gang gezet om aan de wettelijke vereisten voor dataprotectie te voldoen. De ontwikkelingen van het afgelopen jaar, sinds de uitspraak van het Hof van Justitie van de Europese Unie van juli 2020 in de zaak Schrems II, maken duidelijk dat organisaties die de AVG-beginselen niet structureel hebben geborgd nu voor grote uitdagingen staan om datatransfers naar derde landen in lijn met de AVG te laten plaatsvinden”, vertelt Jonathan Toornstra, legal consultant bij juridisch adviesbureau Considerati, en onder andere gespecialiseerd in internationale datatransfers. Hij treedt regelmatig op als externe Functionaris Gegevensbescherming (FG) voor (internationale) organisaties en ziet de directe gevolgen van Schrems II voor het bedrijfsleven.

“Hoe houd je als organisatie grip op alle veranderingen? Hoe hangen de verschillende ontwikkelingen samen? Er is veel te doen als het gaat om internationale doorgiften van persoonsgegevens”, signaleert Toornstra. “De uitdaging is om het hele plaatje te zien en als organisatie een structurele aanpak te ontwikkelen om steeds snel en efficiënt in te spelen op de veranderingen. Dat betekent bijvoorbeeld: zorgen dat de bedrijfsprocessen correct ingericht zijn, dat de juiste specialisten beschikbaar zijn en dat er voldoende budget wordt vrijgemaakt om tijdig actie te ondernemen. Niet alleen multinationals en andere grote organisaties staan voor forse opgaven, ook voor kleinere organisaties is er veel te doen. Wat zijn precies de risico’s, hoe houden we deze beheersbaar en welke guidance en handhaving zijn er te verwachten van toezichthouders?”

Uitdagingen en acties

Toornstra verzorgt tijdens Actualiteitenseminar Dataprotectie & Privacy op 7 oktober een kennissessie over internationale datadoorgiftes. Aan bod komen onder meer de impact van de Schrems II-zaak, de implicaties voor de contracten met derde partijen en de consequenties van de aanbevelingen van de European Data Protection Board (EDPB).

Naast de algemene uitdaging om structureel te werken aan AVG-compliance betekenen de recente ontwikkelingen ook dat er concrete acties nodig zijn om internationale datatransfers goed te regelen, benadrukt Toornstra. “Uit de definitieve versie van de EDPB-aanbevelingen, die in juni zijn gepubliceerd, zijn zes stappen af te leiden om internationale datatransfers risicogestuurd in goede banen te leiden. Als de basis van de AVG niet op orde is, brengen de eerste twee stappen – ken de doorgiften en verifieer de mechanismen – al veel werk mee. Is het verwerkingsregister up-to-date? Is er een contractbeheersysteem waarmee contracten met derde partijen snel gevonden en geverifieerd kunnen worden? Hoe gebruiken we de nieuwe Standard Contractual Clauses (SCC’s) van de Europese Commissie (EC)?”

Pijnpunt

De nieuwe SCC’s van de EC, die in juni definitief zijn vastgesteld, stellen organisaties in staat om persoonsgegevens internationaal te delen, ook naar landen waar persoonsgegevens in principe minder goed worden beschermd dan in Europa. “Organisaties moeten in september 2021 voor alle nieuwe contracten de nieuwe SCC’s gebruiken en voor lopende overeenkomsten uiterlijk eind 2022 overstappen naar de modelcontracten. Ondanks de modulaire structuur van de nieuwe SCC’s blijkt de implementatie ingewikkeld. De nieuwe SCC’s kunnen namelijk functioneren als een verwerkersovereenkomst. Maar organisaties kunnen ook – net als tot nu toe het geval was – naast een SCC toch nog een aparte verwerkersovereenkomst hanteren, mits de bepalingen daarin in overeenstemming zijn met de inhoud van het modelcontract.” Bedrijven hebben daarnaast de mogelijkheid om meer commerciële afspraken, zoals over aansprakelijkheid en de omgang met datalekken, in een annex vast te leggen.

Er is nog veel onduidelijk, waarschuwt Toornstra. “De EC werkt aan een Q&A om meer duiding te geven, bijvoorbeeld over de commerciële toevoegingen bij SCC’s. Maar de publicatiedatum is nog niet vastgesteld. Verder is het nog niet bekendgemaakt hoe de Europese privacytoezichthouders de controle en handhaving gaan oppakken. Hoe strikt wordt er na de eerste deadline, eind september 2021, gecontroleerd op de overstap naar de nieuwe SCC’s?”

Toornstra ziet ook de verplichting om een data transfer assessment uit te voeren als een pijnpunt. “Een organisatie moet de wetten en praktijken in de landen buiten de Europese Unie (EU) waarnaar persoonsgegevens worden overgebracht in kaart brengen en beoordelen. Dit dient goed te worden gedocumenteerd. Dat vereist veel uitzoekwerk en administratie, merken veel organisaties nu.” De verwachting is dat er gaandeweg meer template beoordelingen beschikbaar komen van de wetten en praktijken in derde landen.

Structuur als toverwoord

De negende editie van het Actualiteitenseminar Dataprotectie & Privacy van Outvie vindt plaats op 7 en 8 oktober in Amsterdam. Het congres brengt de visies, aanpak en best practices van experts en voorlopers uit verschillende sectoren en organisaties samen. De focus ligt op actuele thema’s zoals data delen, responsible tech, en de kansen en risico’s van data en kunstmatige intelligentie. Het congres is speciaal gericht op professionals die op zoek zijn naar de nieuwste inzichten over juridische, praktische en ethische uitdagingen rond dataprotectie, privacy en compliance.

Structuur is voor internationale datatransfers het toverwoord, zegt Toornstra. “Het begint allemaal met de opgave om de doorgiftes te kennen. Door bedrijfsprocessen hiervoor adequaat in te richten en een gestructureerd beheer te creëren van transfers en contracten met derde partijen, is een organisatie in een betere positie om de actuele ontwikkelingen te adresseren. De oplossing zit naar mijn mening niet in brandjes blussen. Organisaties dienen strategisch in te spelen op de ontwikkelingen en actief op zoek te gaan naar structurele verbeteringen voor de langere termijn.”

“Probeer the big picture te zien”, adviseert Toornstra. “Als je daar nu voldoende tijd in investeert, dan ben je beter voorbereid op actuele én toekomstige ontwikkelingen. Voor veel organisaties zullen datatransfers alleen maar verder toenemen, dus dan moet je er goed mee omgaan en voorkomen dat je achter de feiten aanloopt. Vooral omdat je in de toekomst mogelijk ook te maken krijgt met soortgelijke verplichtingen van buiten de EU, zoals van Amerikaanse of Braziliaanse wetgeving.”

Wilt u meer actuele, praktische en onderbouwde inzichten opdoen om dataprotectie in uw organisatie verder te brengen? Kom dan naar het Actualiteitencongres Dataprotectie & Privacy.