Wat is voor u van belang?
Schrems II
Internationale doorgifte van persoonsgegevens na het Schrems II arrest
Op grond van hoofdstuk V van de AVG dienen organisaties bij de doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER) een doorgifte-mechanisme te gebruiken als legitimering. Hierbij kan gedacht worden aan het contractueel overeenkomen van de modelbepalingen van de EU (Standard Contractual Clauses) of aan het vaststellen en door de toezichthouder laten goedkeuren van interne bedrijfsregels (Binding Corporate Rules). Vóór het Schrems II arrest kon hiervoor tevens het EU-US Privacy Shield gebruikt worden.
In het Schrems II arrest is het Privacy Shield echter ongeldig verklaard. Daarbij werd (kortgezegd) geoordeeld dat organisaties, ongeacht het gebruikte doorgifte-mechanisme, ervoor moeten zorgen dat doorgegeven persoonsgegevens in het land buiten de EER worden beschermd op een niveau dat in wezen gelijkwaardig is aan dat van de AVG. Voor de Verenigde Staten werd geoordeeld dat dit (zonder aanvullende maatregelen) niet het geval was.
Praktijk
Acties die organisaties dienen te nemen naar aanleiding van het Schrems II arrest
Om te bepalen of een land buiten de EER een gelijkwaardig beschermingsniveau biedt voor doorgegeven persoonsgegevens, dienen organisaties een Data Transfer Impact Assessment (DTIA) uit te voeren. Een DTIA is, kort samengevat, een analyse van de doorgifte, waarbij de risico’s van de doorgifte geïdentificeerd worden en naar aanleiding daarvan mitigerende maatregelen genomen moeten worden. Hierbij worden ook de wetten en praktijken van landen buiten de EER op het gebied van surveillance en gegevensbescherming geanalyseerd.
Daarnaast zijn naar aanleiding van het arrest nieuwe Standard Contractual Clauses uitgebracht door de Europese Commissie. Organisaties moeten derhalve hun Standard Contractual Clauses vernieuwen. Hiervoor is de deadline vastgesteld op 27 december 2022.
Niet-naleving kan leiden tot boetes tot 20 miljoen euro of 4% van de jaaromzet, naast reputatieschade en civiele vorderingen. Bovendien kunnen toezichthouders onder de AVG een organisatie dwingen om haar verwerkingsactiviteiten te staken, waardoor een bedrijfsproces kan worden stopgezet.
Uitdagingen
Uitdagingen die organisaties hierdoor ondervinden
Wij begrijpen dat veel organisaties vertrouwen op internationale doorgifte van persoonsgegevens voor bedrijfskritische processen. Het in kaart brengen van deze doorgiften en het uitvoeren van DTIA’s is een complexe zaak, die zeer tijdrovend kan zijn voor organisaties. Bovendien dienen organisaties bij het uitvoeren van DTIA’s de wetten en praktijken van landen buiten de EER op het gebied van surveillance en gegevensbescherming te beoordelen, waarvoor veelal geen kennis en capaciteit beschikbaar is.
Daar komt bij (i) dat juridische risico’s vertaald dienen te worden naar haalbare contractuele, technische, en organisatorische maatregelen; (ii) dat een solide governance opgezet dient te worden, met ruimte voor open discussie tussen (onder andere) juridische -, privacy- en cybersecurityspecialisten; en (iii) dat op grote schaal geïdentificeerd dient te worden welke contracten vernieuwd moeten worden.
Diensten
Innovatieve juridische dienstverlening, gericht op de uitdagingen van Schrems II
HVG Law begrijpt de uitdagingen die op basis van het Schrems II arrest binnen uw organisatie spelen, met name bij het analyseren van buitenlandse wetgeving. Met de wereldwijde dekking van het EY Law netwerk zijn wij in de unieke positie om voor u dergelijke analyses uit te voeren. Derhalve hebben wij de Third Country Law Assessments (TCLA’s) ontwikkeld; dit zijn kant-en-klare assessments van de surveillance- en gegevensbeschermingswetgeving van derde landen. In onze database van TCLA’s zijn inmiddels 35 assessments beschikbaar voor de meest risicovolle derde landen. Deze kunnen wij aanleveren ter ondersteuning van uw uitvoering van DTIA’s. Uiteraard kunnen wij u daarnaast ook bijstaan bij het uitvoeren van de DTIA’s zelf. Door onze samenwerking met EY Consulting leveren we daarbij niet alleen een juridisch perspectief, maar ook handvatten voor een praktische implementatie van geïdentificeerde mitigerende maatregelen.
Bovendien kunnen wij, met behulp van de kunstmatige intelligentie-tool Luminance, gemakkelijk op grote schaal identificeren bij welke contracten doorgifte plaatsvindt op basis van SCC’s en welke SCC’s vernieuwd dienen te worden. Op die manier kunnen wij met onze vooruitstrevende legal tech uw SCC remediation trajecten bijstaan.
Internationale doorgifte van persoonsgegevens na het Schrems II arrest
Op grond van hoofdstuk V van de AVG dienen organisaties bij de doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER) een doorgifte-mechanisme te gebruiken als legitimering. Hierbij kan gedacht worden aan het contractueel overeenkomen van de modelbepalingen van de EU (Standard Contractual Clauses) of aan het vaststellen en door de toezichthouder laten goedkeuren van interne bedrijfsregels (Binding Corporate Rules). Vóór het Schrems II arrest kon hiervoor tevens het EU-US Privacy Shield gebruikt worden.
In het Schrems II arrest is het Privacy Shield echter ongeldig verklaard. Daarbij werd (kortgezegd) geoordeeld dat organisaties, ongeacht het gebruikte doorgifte-mechanisme, ervoor moeten zorgen dat doorgegeven persoonsgegevens in het land buiten de EER worden beschermd op een niveau dat in wezen gelijkwaardig is aan dat van de AVG. Voor de Verenigde Staten werd geoordeeld dat dit (zonder aanvullende maatregelen) niet het geval was.
Acties die organisaties dienen te nemen naar aanleiding van het Schrems II arrest
Om te bepalen of een land buiten de EER een gelijkwaardig beschermingsniveau biedt voor doorgegeven persoonsgegevens, dienen organisaties een Data Transfer Impact Assessment (DTIA) uit te voeren. Een DTIA is, kort samengevat, een analyse van de doorgifte, waarbij de risico’s van de doorgifte geïdentificeerd worden en naar aanleiding daarvan mitigerende maatregelen genomen moeten worden. Hierbij worden ook de wetten en praktijken van landen buiten de EER op het gebied van surveillance en gegevensbescherming geanalyseerd.
Daarnaast zijn naar aanleiding van het arrest nieuwe Standard Contractual Clauses uitgebracht door de Europese Commissie. Organisaties moeten derhalve hun Standard Contractual Clauses vernieuwen. Hiervoor is de deadline vastgesteld op 27 december 2022.
Niet-naleving kan leiden tot boetes tot 20 miljoen euro of 4% van de jaaromzet, naast reputatieschade en civiele vorderingen. Bovendien kunnen toezichthouders onder de AVG een organisatie dwingen om haar verwerkingsactiviteiten te staken, waardoor een bedrijfsproces kan worden stopgezet.
Uitdagingen die organisaties hierdoor ondervinden
Wij begrijpen dat veel organisaties vertrouwen op internationale doorgifte van persoonsgegevens voor bedrijfskritische processen. Het in kaart brengen van deze doorgiften en het uitvoeren van DTIA’s is een complexe zaak, die zeer tijdrovend kan zijn voor organisaties. Bovendien dienen organisaties bij het uitvoeren van DTIA’s de wetten en praktijken van landen buiten de EER op het gebied van surveillance en gegevensbescherming te beoordelen, waarvoor veelal geen kennis en capaciteit beschikbaar is.
Daar komt bij (i) dat juridische risico’s vertaald dienen te worden naar haalbare contractuele, technische, en organisatorische maatregelen; (ii) dat een solide governance opgezet dient te worden, met ruimte voor open discussie tussen (onder andere) juridische -, privacy- en cybersecurityspecialisten; en (iii) dat op grote schaal geïdentificeerd dient te worden welke contracten vernieuwd moeten worden.
Innovatieve juridische dienstverlening, gericht op de uitdagingen van Schrems II
HVG Law begrijpt de uitdagingen die op basis van het Schrems II arrest binnen uw organisatie spelen, met name bij het analyseren van buitenlandse wetgeving. Met de wereldwijde dekking van het EY Law netwerk zijn wij in de unieke positie om voor u dergelijke analyses uit te voeren. Derhalve hebben wij de Third Country Law Assessments (TCLA’s) ontwikkeld; dit zijn kant-en-klare assessments van de surveillance- en gegevensbeschermingswetgeving van derde landen. In onze database van TCLA’s zijn inmiddels 35 assessments beschikbaar voor de meest risicovolle derde landen. Deze kunnen wij aanleveren ter ondersteuning van uw uitvoering van DTIA’s. Uiteraard kunnen wij u daarnaast ook bijstaan bij het uitvoeren van de DTIA’s zelf. Door onze samenwerking met EY Consulting leveren we daarbij niet alleen een juridisch perspectief, maar ook handvatten voor een praktische implementatie van geïdentificeerde mitigerende maatregelen.
Bovendien kunnen wij, met behulp van de kunstmatige intelligentie-tool Luminance, gemakkelijk op grote schaal identificeren bij welke contracten doorgifte plaatsvindt op basis van SCC’s en welke SCC’s vernieuwd dienen te worden. Op die manier kunnen wij met onze vooruitstrevende legal tech uw SCC remediation trajecten bijstaan.
