Het Europese Hof heeft in de Schrems II zaak nog maar eens duidelijk gemaakt dat de waarborgen die worden gegeven door de AVG ten aanzien van de bescherming van persoonsgegevens, ook bij doorgifte aan derde landen, moeten worden gegarandeerd. Zowel de verwerkingsverantwoordelijke als de verwerker zijn hier verantwoordelijk voor. Om in kaart te brengen of de verwerkingsverantwoordelijke aanvullende maatregelen moet nemen geeft de EDPB het volgende stappenplan:

Stap 1: Breng al uw doorgiften van persoonsgegevens naar derde landen in kaart.
Als verwerkingsverantwoordelijke dient u eerst al uw doorgiften van persoonsgegevens in kaart te brengen om te zien of uw organisatie een veilige doorgifte kan waarborgen. Vergeet hierbij niet om rekening te houden met eventuele subverwerkers en clouddiensten. Deze kunnen hun data namelijk ook in derde landen verwerken. Uw verwerkingsregister kan helpen deze doorgiften inzichtelijk te maken.

Stap 2. Maak inzichtelijk welke passende waarborgen uw organisatie heeft genomen.
In het geval dat het derde land geen adequaat beschermingsniveau biedt, kan uw organisatie gebruik maken van de waarborgen die volgen uit art. 46 AVG, zoals de standaard EU-model contracten. Zorg ervoor dat inzichtelijk is welke waarborgen passend zijn voor de specifieke situatie.

Stap 3. Ga na of de waarborgen die volgen uit art. 46 AVG effectief genoeg zijn.
Wetgeving in een derde land kan de autoriteiten daar namelijk de mogelijkheid bieden toegang te krijgen tot persoonsgegevens. Deze toegang dient noodzakelijk en proportioneel te zijn. Is dit niet het geval, dan bestaat de kans dat de waarborgen uit art. 46 AVG niet effectief genoeg zijn.

Stap 4. Indien de waarborgen uit art. 46 AVG niet effectief genoeg zijn, neem dan aanvullende maatregelen.
Aanvullende maatregelen kunnen contractueel, technisch of organisatorisch van aard zijn. Contractuele of organisatorische maatregelen alleen kunnen echter niet voorkomen dat toegang wordt verkregen tot de persoonsgegevens. Er wordt dan ook vaak gekozen voor het nemen van verschillende soorten maatregelen zoals het aanvullen van contractuele bepalingen en encryptie.

Stap 5. Als u de aanvullende maatregelen hebt geïdentificeerd, dient u de procedure hierop af te stemmen.
Zo dienen, afhankelijk welke waarborgen u gebruikt, contractuele bepalingen te worden aangevuld.

Stap 6. Blijf op de hoogte van de ontwikkelingen omtrent de doorgifte.
Belangrijk is dat uw organisatie, al dan niet tezamen met de verwerker, de mate van gegevensbescherming in het derde land blijft monitoren. Mocht er iets wijzigen, kunt u hier tijdig op acteren.

Wij raden u aan alle stappen goed te documenteren, bijvoorbeeld als aanvulling op het verwerkingsregister. In geval de Autoriteit Persoonsgegevens hierom verzoekt, kan uw organisatie aantonen welke afwegingen zijn gemaakt om te bepalen of een veilige doorgifte van persoonsgegevens kan worden gewaarborgd.

Heeft u twijfels of uw waarborgen effectief genoeg zijn? Wij helpen u graag verder! Neem contact met ons op of vraag vrijblijvend een gratis consult aan.