Uit een Data Transfer Impact Assessment (DTIA) moet volgen waarom de organisatie gebruik maakt van een leverancier die gevestigd is in een derde land, en op welke wijze ervoor wordt gezorgd dat de privacy wordt gewaarborgd.
Welke onderwerpen komen aan bod in de DTIA?
De DTIA moet een omschrijving bevatten van de diensten die worden aangeboden door de leverancier die gevestigd is in een derde land. Gaat het bijvoorbeeld om een hostingprovider, softwareleverancier of marketingpartij? Wordt er support geleverd vanuit een derde land of is het misschien mogelijk om aan de hand van een bepaalde tool nieuwsbrieven te versturen?
Welke passende waarborgen worden getroffen? Denk aan het sluiten van de SCC’s of wellicht worden persoonsgegevens doorgegeven op basis van Binding Corporate Rules.
Niet geheel onbelangrijk is natuurlijk welke maatregelen er worden getroffen om persoonsgegevens te beschermen, aanvullend op de SCC’s. Denk aan dataminimalisatie, encryptie en het pseudonimiseren of misschien wel anonimiseren van persoonsgegevens. Een andere maatregel is dat partijen contractueel afspreken dat persoonsgegevens binnen de EER worden gehost.
Om tot een gedegen DTIA te komen is het van belang dat de nationale wetgeving van het land van de leverancier wordt bekeken. Het is vrijwel onmogelijk om kennis te hebben van alle wet- en regelgeving. Als u gebruik maakt van een Amerikaanse leverancier dan speelt bijvoorbeeld de Foreign Intelligence Surveillance Act (FISA) een belangrijke rol. Elke ICT-dienstverlener die gevestigd is in de VS, is gebonden aan de FISA. In een van de bepalingen is opgenomen dat een speciale rechtbank een bevel kan geven tot surveillance. Naast de FISA staan in de USA Freedom Act ook allerlei bepalingen inzake surveillance.
Elke organisatie dient zelf te bepalen of zij verwacht onderwerp te zijn van deze wetgeving, of dat dat risico verwaarloosbaar is. Het Amerikaanse Ministerie van Handel heeft bijvoorbeeld wel aangegeven dat veruit de meeste commerciële doorgiften van persoonsgegevens naar de VS niet van belang zijn voor de Amerikaanse inlichtingen- en veiligheidsdiensten.
Uiteindelijk volgt er een risicobeoordeling. Is de inzet van bijvoorbeeld een Amerikaanse leverancier noodzakelijk? Of kan er gebruik worden gemaakt van een partij die in Europa of misschien zelfs wel in Nederland gevestigd is? Welke risico’s spelen er in het derde land en zijn die risico’s aanvaardbaar?
Een DTIA kan lastig zijn om uit te voeren.
Onze juristen staan voor je klaar!