Doordat bedrijven zich steeds meer wereldwijd uitbreiden is de internationale overdracht van persoonlijke gegevens iets heel gewoons geworden. Deze overdrachten brengen echter risico’s met zich mee voor het beschermen van die gegevens. Twee belangrijke beoordelingen, Transfer Impact Assessments (TIA’s) en Transfer Risk Assessments (TRA’s), spelen hierin een cruciale rol.
Beide beoordelingen zijn gericht op het evalueren van gegevensbeschermingsmaatregelen in landen buiten de Europese Economische Ruimte (EER) of het Verenigd Koninkrijk, maar verschillen in hun benadering. Het is belangrijk dat organisaties die internationale gegevensoverdracht uitvoeren, het verschil tussen TIA’s en TRA’s begrijpen, inclusief hun methodologieën, wanneer ze moeten worden uitgevoerd en hun juridische betekenis.
In deze blog geeft Katrina Leach, ervaren Data Protection Officer en Head of Data Protection Operations bij The DPO Centre, uitleg over TIA’s en TRA’s, wanneer ze nodig zijn en hoe bedrijven risico’s effectief kunnen beheren tijdens internationale gegevensoverdrachten.
Wat is een Transfer Impact Assessment?
Een Transfer Impact Assessment (TIA) wordt gebruikt voor het evalueren van de overdracht van persoonlijke gegevens naar landen buiten de Europese Economische Ruimte (EER). Het beoordeelt het wettelijke kader van het land van bestemming om ervoor te zorgen dat er voldoende gegevensbescherming is in overeenstemming met de AVG (Algemene verordening gegevensbescherming) van de EU.
Gegevensexporteurs die gebruikmaken van een artikel 46-overdrachtsmechanisme, zoals EU Standard Contractual Clauses (SCC’s) of Binding Corporate Rules (BCR’s), moeten een TIA doen wanneer ze persoonsgegevens doorgeven aan niet-EER-landen waarvoor geen besluit is genomen over een passend beschermingsniveau.
Wat is een Transfer Risk Assessment?
Een Transfer Risk Assessment (TRA) is de Britse versie van een TIA. Het zorgt ervoor dat landen buiten het Verenigd Koninkrijk een adequaat niveau van gegevensbescherming bieden in overeenstemming met de Britse wetgeving inzake gegevensbescherming. Een TRA richt zich specifiek op de risico’s voor de rechten en vrijheden van individuen als gevolg van de gegevensoverdracht.
Organisaties moeten een TRA doen wanneer ze gegevens buiten het VK overdragen met behulp van een International Data Transfer Agreement (IDTA), EU Standard Contractual Clauses (SCC’s) met UK Addendum, of Binding Corporate Rules (BCR’s).
Moet een organisatie een TIA of TRA doen als ze al gebruikmaakt van SCC’s of IDTA?
Ja! Overdrachtsmechanismen zoals Standard Contractual Clauses (SCC’s) worden gebruikt om een veilige internationale overdracht van gegevens makkelijker te maken, maar TIA’s en TRA’s beoordelen of deze mechanismen voldoende bescherming bieden voor persoonsgegevens tijdens de overdracht.
Volgens de EU Standard Contractual Clauses (SCC’s), Binding Corporate Rules (BCR’s), en de UK International Data Transfer Agreement (IDTA) en UK Addendum, moeten exporteurs en importeurs van gegevens een TIA (EU) of TRA (VK) uitvoeren. Door deze overdrachtsmechanismen in hun overeenkomsten op te nemen, verplichten organisaties zich er contractueel toe om deze beoordelingen uit te voeren.
Moeten bedrijven die gegevens overdragen naar landen buiten de EU en het VK beide beoordelingen uitvoeren?
Nee, bedrijven hoeven niet zowel een TIA als een TRA te doen. De specifieke beoordeling die nodig is, hangt af van het overdrachtsmechanisme dat wordt gebruikt.
- Bij overdracht vanuit het VK: De Information Commissioner’s Office (ICO) vereist dat organisaties een TRA doen om het risico van de overdracht te beoordelen als ze gebruik maken van de Britse IDTA of BCR’s. Als de organisatie echter gebruik maakt van SCC’s uit de EU met UK Addendum, staat de ICO het gebruik van een TIA toe. Dat maakt het voor organisaties die persoonsgegevens uit het VK internationaal overdragen makkelijker om aan de eisen te voldoen.
- Bij overdracht vanuit de EER: Organisaties moeten een TIA uitvoeren om te beoordelen of het gekozen overdrachtsmechanisme, zoals een SCC, voldoende bescherming biedt in het land van bestemming.
Het is belangrijk om te weten dat een TRA die wordt uitgevoerd onder de regelgeving van het Verenigd Koninkrijk door de EU-autoriteiten niet wordt beschouwd als een gelijkwaardige vervanging voor een TIA.
Kunnen er juridische gevolgen zijn voor organisaties als ze geen TIA of TRA uitvoeren?
Organisaties kunnen juridische gevolgen ondervinden als ze internationale gegevensoverdrachten niet goed beschermen. Hoewel het onder de AVG[KA1] niet verplicht is TIA’s en TRA’s te doen, worden ze algemeen erkend als essentiële hulpmiddelen om aan te tonen dat er voldoende bescherming is bij internationale gegevensoverdrachten. Als de risico’s bij deze overdrachten niet goed worden beoordeeld en aangepakt, kan dit leiden tot niet-naleving, wat mogelijk zorgt voor boetes of handhavingsacties door toezichthouders.
Hoe vaak moeten bedrijven TIA’s en TRA’s voor lopende contracten opnieuw beoordelen?
De ICO en de European Data Protection Board (EDPB) specificeren niet hoe vaak TIA’s of TRA’s opnieuw moeten worden beoordeeld, maar beide benadrukken het belang van regelmatige beoordelingen om ervoor te zorgen dat de regelgeving rondom gegevensbescherming wordt nageleefd.
De ICO van het VK benadrukt de noodzaak om TRA’s opnieuw te beoordelen als er belangrijke veranderingen zijn, zoals updates van wetten voor gegevensbescherming, veranderingen in de aard van gegevensoverdrachten of wijzigingen in contractuele relaties.
De EDPB van de EU beveelt aan dat gegevensexporteurs, in samenwerking met importeurs, op de hoogte blijven van de ontwikkelingen in het ontvangende land, waaronder wijzigingen in het wettelijke kader of praktijken die gevolgen hebben voor de effectiviteit van overdrachtsinstrumenten en aanvullende maatregelen.
Deze regelmatige controles zorgen voor voortdurende naleving en helpen nieuwe risico’s aan te pakken die gepaard gaan met internationale gegevensoverdracht.
Wat kunnen organisaties doen om te zorgen voor effectieve TIA’s en TRA’s?
Om ervoor te zorgen dat TIA’s en TRA’s alle noodzakelijke aspecten van gegevensbescherming afdekken, moeten organisaties de methodologie van de toezichthouders aanhouden:
- De Aanbevelingen 01/2020 van de EDPB bevat een 6-stappen aanpak voor het uitvoeren van Transfer Impact Assessments
- De Transfer Risk Assessment Tool van de ICO
Slotopmerkingen over TIA’s en TRA’s
Transfer Impact Assessments (TIA’s) en Transfer Risk Assessments (TRA’s) zijn waardevolle hulpmiddelen om te evalueren of er voldoende gegevensbeschermingsmaatregelen zijn getroffen voor internationale overdrachten, en helpen organisaties om potentiële risico’s te vinden en aan te pakken.
Beide beoordelingen evalueren of het land van bestemming een niveau van gegevensbescherming biedt dat gelijkwaardig is aan het niveau dat vereist is onder de AVG. Deze beoordelingen vormen een aanvulling op overdrachtsmechanismen, zoals Standard Contractual Clauses (SCC’s) of Binding Corporate Rules (BCR’s), door eventuele risico’s voor gegevensbescherming bij internationale overdrachten te vinden en aan te pakken.
Als deze beoordelingen niet worden uitgevoerd, bestaat het risico dat persoonlijke gegevens onvoldoende worden beschermd in landen van bestemming, wat mogelijk een schending is van de AVG. Het uitvoeren van TIA’s en TRA’s is essentieel voor het vinden en aanpakken van risico’s, het zorgen voor de juiste waarborgen, en het handhaven van individuele rechten op het gebied van gegevensbescherming. Regelmatige herbeoordeling laat verantwoording zien, behoudt het vertrouwen van de klant en zorgt voor naleving van de wetten en regels rondom internationale gegevensoverdracht.
Misschien gemist…
- Due diligence van de bank: checklist gegevensbescherming voor dienstverleners
- GDPR DPO-Vereisten: Wat kwalificeert als grootschalige verwerking?
- Live Gezichtsherkenning en naleving van gegevensbescherming
Mis de laatste updates over gegevensbescherming niet – blijf op de hoogte met onze tweewekelijkse nieuwsbrief, De DPIA
