Nieuwe EU-US Information Privateness Framework biedt tijdwinst




Veel organisaties maken gebruik van Amerikaanse cloudleveranciers. Tot voor kort moest voor al deze leveranciers een Information Switch Impression Evaluation (DTIA) worden uitgevoerd. Goed nieuws, need op 10 juli jl. heeft de Europese Commissie (EC) een adequaatheidsbesluit aangenomen voor doorgifte van persoonsgegevens naar de VS, het zogenoemde EU-US Information Privateness Framework (DPF). En dat scheelt tijd, geld en moeite.

Een DTIA is een risicoanalyse gericht op de internationale doorgifte van persoonsgegevens. Het uitvoeren van een DTIA is sinds Schrems II en Recommendations 01/2020 verplicht wanneer persoonsgegevens worden doorgegeven naar landen/organisaties buiten de Europese Economische Ruimte (EER) op foundation van de passende waarborgen zoals Binding Company Guidelines (BCR) of de veelgebruikte Commonplace Contractual Clauses (SCCs). Een DTIA brengt in kaart wat de internationale doorgifte inhoudt, welke passende waarborgen related zijn, welke nationale wetgeving van toepassing is en welke maatregelen (zoals encryptie en contracten) getroffen moeten worden om eventuele risico’s tot een acceptabel niveau te beperken.

Klimaat

“De messen zijn reeds geslepen nu (de organisatie van) Max Schrems al heeft aangeven ook de geldigheid van het adequaatheidsbesluit ter discussie te zullen stellen”

Vraag is waarom nu geen volledige DTIA meer hoeft te worden uitgevoerd? Het adequaatheidsbesluit (DPF) dat door de EC is genomen houdt in dat de EC heeft vastgesteld dat wanneer Amerikaanse organisaties voldoen aan de gestelde voorwaarden (lees: zichzelf certificeren) er een vergelijkbaar niveau van bescherming van persoonsgegevens door deze organisaties kan worden geboden binnen het Amerikaanse klimaat als dat geldt binnen de EER. Vanwege de risicoanalyse die de EC heeft uitgevoerd als voorbereiding op het adequaatheidsbesluit en de getroffen maatregelen, hoeft u dus geen volledige DTIA meer uit te voeren voor deze doorgiftes. U hoeft alleen nog huge te stellen dat het adequaatheidsbesluit van toepassing is, noteert dit en houdt gedurende looptijd van de samenwerking de geldigheid van het DPF in de gaten.

Let op: de messen zijn reeds geslepen nu (de organisatie van) Max Schrems al heeft aangeven ook de geldigheid van dit adequaatheidsbesluit ter discussie te zullen stellen. Of en hoe lang het DPF zal standhouden is dan ook de vraag.

Amerikaanse cloudleverancier

Als u een beroep wilt doen op een Amerikaanse cloudleverancier, dan dient u naast de gebruikelijke afspraken (zoals een verwerkersovereenkomst) te zorgen voor een passende waarborg voor de doorgifte van de persoonsgegevens naar de VS. Dit magazine het DPF zijn, maar uiteraard ook een andere waarborg (zoals de SCCs).

Om te controleren of u gebruik kunt maken van het DPF stelt u huge: 1) welke Amerikaanse juridische entiteiten related zijn, 2) welke knowledge u doorgeeft en 3) controleert u by way of de website van DPF of de relevante juridische entiteit(en) voor het relevante kind persoonsgegevens is gecertificeerd. Als de juiste certificering aanwezig is, dan legt u dit huge in het contract met de leverancier. Neem hierin ook iets op over een mogelijk wijziging van de situatie. Daarnaast noteert u de afspraken intern en houdt u de ontwikkelingen in de gaten. Als de benodigde certificering ontbreekt, dan dient u een andere passende waarborg te gebruiken en alsnog een volledige DTIA uit te voeren.

Concluderend: ondanks de mogelijke ontwikkelingen qua geldigheid van het DPF, neemt de werkdruk voor u qua DTIA’s af. Dat lijkt toch alvast een goed vooruitzicht voor wanneer u uw privacywerkzaamheden weer na de zomervakantie hervat.

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top