De doorgifte van persoonsgegevens naar niet-adequate landen buiten Europa is de laatste maanden een actueel onderwerp. De regels voor doorgifte zijn namelijk aangescherpt na een uitspraak van Europese Hof van Justitie (Shrems II-uitspraak). In een eerder artikel heeft u kunnen lezen welke extra stappen (1 t/m 6) uw organisatie moet nemen om tot een ‘gelijkwaardig beschermingsniveau’ te komen. In dit artikel gaan we verder in op stap 4 uit ons vorige artikel. We vatten kort samen welke (technische) maatregelen worden geadviseerd door de European Data Protection Board (EDPB).
Voor de doorgifte van persoonsgegevens buiten Europa (officieel de Europese Economische Ruimte, de EER) is de meest gangbare oplossing om gebruik te maken van de SCC’s, de Standard Contractual Clauses. Deze overeenkomst sluit u met uw gegevensverwerker buiten Europa (de data-importeur) en is te vergelijken met verwerkersovereenkomsten. Door het opnemen van aanvullende (technische) maatregelen in deze SCC’s, kunt u de gebreken in de wet- en regelgeving van een derde land opvullen. Door aanvullende maatregelen toe te passen, wordt een gelijkwaardig beschermingsniveau gewaarborgd.
De aanvullende maatregelen die u als organisatie moet nemen kunnen zowel contractueel, organisatorisch als technisch zijn. Om te bepalen welke maatregelen het meeste effect hebben, wordt aanbevolen om de onderstaande factoren mee te wegen:
Het nemen van contractuele en organisatorische maatregelen is vaak niet voldoende om de toegang van overheidsinstanties tot de gegevens uit te sluiten. Aanvullende technische maatregelen zijn daarom van belang. De EDPB noemt een aantal voorbeelden van technische maatregelen die uw organisatie kan nemen. De maatregelen zien voornamelijk op het voorkomen van toegang tot de persoonsgegevens door overheidsinstanties van derde landen. Met name (transport) encryptie, pseudonimisering en het splitsen van persoonsgegevens in delen (datasplitsing) zijn van belang.
Encryptie (versleuteling) houdt in dat persoonsgegevens versleuteld worden door middel van een versleutelingsalgoritme. Gegevens worden van een leesbaar formaat naar een gecodeerd formaat getransformeerd, dat pas na decryptie gelezen kan worden.
Door middel van pseudonimisering worden persoonsgegevens getransformeerd in een dataset die niet meer direct herleidbaar is tot een persoon, aangezien direct identificeerbare elementen van de persoonsgegevens worden weggehaald, zoals bijvoorbeeld de naam. Deze dataset kan daarnaast nog worden gecodeerd tot een nummer (extra beveiligd).
Bij datasplitsing wordt gebruikgemaakt van twee verschillende verwerkers. De persoonsgegevens worden gesplitst in delen zodat voor de verwerkers geen enkel deel van de data toereikend is om de persoonsgegevens te herstellen.
De belangrijkste voorwaarde voor (transport)encryptie is dat persoonsgegevens, vóór verzending naar derde landen, worden gecodeerd met behulp van sterke versleutelingsalgoritmen. Het versleutelingsalgoritme moet up-to-date zijn (bijvoorbeeld door certificering) en weerbaar zijn tegen encryptie-analyse die wordt uitgevoerd door de openbare autoriteiten in ontvangende derde landen. Daarnaast dient de decryptie van de persoonsgegevens alleen mogelijk te zijn buiten het derde land. Als laatste voorwaarde geldt dat de encryptie betrouwbaar wordt beheerd en uitsluitend bewaard onder de controle van uw organisatie of aangewezen derden binnen de EER.
Wordt gebruik gemaakt van pseudonimisering, dan zijn persoonsgegevens niet meer tot een individu herleidbaar zonder het gebruik van aanvullende informatie (de ‘pseudonimisatiesleutel’). Deze sleutel moet binnen uw organisatie blijven, althans niet worden doorgegeven aan de organisatie in het derde land. Uw organisatie moet daarnaast passende technische en organisatorische waarborgen nemen, waardoor u de uitsluitende zeggenschap behoudt over het algoritme en de opslagplaats van de pseudonimisatiesleutel die de ontsleuteling mogelijk maakt.
Wordt gebruik gemaakt van datasplitsing, dan is de belangrijkste voorwaarde dat de twee of meer opgesplitste delen van persoonsgegevens beiden zonder het gebruik van aanvullende informatie niet langer tot een specifiek persoon kunnen leiden.
In haar advies spreekt de EDPB zich ook uit over situaties waarin genomen maatregelen niet voldoende bescherming bieden voor de doorgifte van persoonsgegevens naar derde landen.
Een voorbeeld daarvan is wanneer gebruik wordt gemaakt van een dienstverlener in het derde land (de gegevensimporteur) die voor het uitvoeren van zijn dienst toegang tot de ‘blote’ (niet versleutelde of gepseudonimiseerde) persoonsgegevens nodig heeft.
Indien het risico groot is dat zulke onversleutelde persoonsgegevens in het derde land door overheidsinstanties geraadpleegd worden, kan niet worden voorkomen dat hierbij inbreuk wordt gemaakt op de rechten van individuen. De EDPB geeft aan dat technologische ontwikkelingen in de toekomst eventueel wel voldoende bescherming kunnen bieden aan ‘blote’ persoonsgegevens.
De aanbevelingen van de EDPB maken nogmaals duidelijk dat organisaties in de EER, die persoonsgegevens exporteren naar (niet-adequate) derde landen, zelfstandig verantwoordelijk blijven voor het waarborgen van veilige verwerking in deze derde landen.
De aanvullende maatregelen die genomen moeten worden, zijn afhankelijk van de persoonsgegevens die een organisatie doorgeeft en de mate waarin het beschermingsniveau van een derde land tekortschiet. Het kan ook zijn dat in uw geval geen enkele maatregel geschikt is om de bescherming van persoonsgegevens te waarborgen. Dan kan geen doorgifte plaatsvinden.
De maatregelen die u moet nemen om de privacy van uw klanten te waarborgen zijn ingewikkeld en worden steeds uitgebreider. Wij kunnen ons voorstellen dat dit voor u geen dagelijkse en gemakkelijke kost is. Daar helpen wij u graag bij!