Ook al gaat deze post ook over het DPF (Data Privacy Framework), het voegt weinig toe om nog eens een stuk te schrijven waarbij de eerste drie secties hetzelfde zijn als alle andere. Als je dit leest, gaan we er vanuit dat Schrems II en Privacy Shield gekende materie zijn en dat je mee hebt gekregen dat er een nieuw framework is met het DPF. Is dat niet zo? Hier en hier vind je twee degelijke beschrijvingen door gerenommeerde advocatenkantoren, en hier een informatienota van de EDPB zelf.
Toch wijden wij er ook nog een stukje aan. Want ondanks alle reeds gepubliceerde artikelen over het DPF bleven we wat op onze honger zitten: nergens wordt concreet benoemd wat je daar als DPO mee moet doen. Dat is de focus die wij in dit stuk mee willen geven. Hieronder volgen de acties die we aanraden om als DPO uit te voeren.
Verwerkers nakijken
Bedrijven die al “Privacy Shield certified” waren, moeten niets doen: sinds 17 juli zijn ze automatisch aangemeld als gecertificeerd onder het DPF. Dit is ook logisch, de problemen die Schrems II aan het licht bracht, lagen niet op niveau van de organisaties die de gegevens verwerkten maar op niveau van de Amerikaanse overheid. Het is echter wel belangrijk om als eerste stap na te kijken of een organisatie effectief geregistreerd is. Je kunt dat nakijken op de volgende site van de Amerikaanse overheid.
Bestaande overeenkomsten en TIA’s herzien
De afgelopen twee jaar hebben we ons als DPO’s bezig mogen houden met het uitvoeren van TIA’s. Privacy Shield bestond niet meer, dus praktisch alle verwerkers gingen gebruik maken van de Standard Contractual Clauses (SCC’s) en dan hoorde daar zo’n mooie Transfer Impact Assessment (TIA) bij. Laten we eerlijk zijn, niet alle TIA’s die moesten gebeuren zijn gebeurd, en sommigen templates die werden gebruikt hadden maar één doel: verantwoorden waarom de transfer door kon gaan.
Die TIA’s zijn nu toe aan een update en wel eentje die de TIA’s aanzienlijk eenvoudiger maakt. Klassiek volgen TIA’s de bekende zes stappen uit de richtlijn van de EDPB. Vanaf nu kunnen die TIA’s stoppen bij stap 3, namelijk het bepalen van de adequaatheid van het doorgifte-instrument. Dankzij het DPF zijn de SCC’s nu voorzien van voldoende maatregelen om een adequate bescherming van gegevens aan te tonen.
Let op: dit geldt uiteraard enkel voor doorgiften naar de VS! Voor andere landen blijft de TIA zoals die was.
Vraag ook na bij verwerkers welk mechanisme men gaat gebruiken, en indien relevant of die verwerkers ook hun sub-verwerkers dezelfde vraag hebben gesteld. Er is geen verplichting om over te schakelen op het DPF, en zoals benoemd in de volgende actie is er zelfs een prima reden om te blijven vertrouwen op SCC’s en een TIA: wie weet hoe snel Schrems III er is.
Nieuwe overeenkomsten met verwerkers
Voor nieuwe overeenkomsten met verwerkers in de VS heb je twee opties, beide opties leiden tot rechtmatige doorgiften:
- Gebruik blijven maken van SCC’s en de TIA die daarbij hoort. Die TIA is nu echter eenvoudig te documenteren. (Tip: de situatie is nu voor alle VS verwerkers dezelfde met het DPF, je kunt dus een generieke TIA maken voor alle transfers naar de VS).
- Volsta met het DPF. Geen SCC’s, geen TIA.
Let op! Bij optie 2 zijn wel een paar opmerkingen nodig: je moet nog steeds een verwerkersovereenkomst of DPA (data processing agreement) hebben, en NOYB & Schrems zijn de messen aan het slijpen voor Schrems III. Het is zeker niet ondenkbaar dat Schrems III er ook komt binnen nu en anderhalf jaar. Als dat gebeurt, is het vanuit optie 1 aanzienlijk makkelijker om alles in orde te krijgen dan wanneer je volledig steunt op het DPF.
Privacyverklaringen updaten
Op diverse plekken moest je al verwijzen naar het gebruik van het juiste instrument om gegevens door te geven en daar zal nu vooral over SCC’s gesproken worden. Daar moet nu het DPF bijkomen. Het is nu niet meteen de verwachting dat vele betrokkenen acuut je privacyverklaring indoken voor de juiste verwijzing, maar het moet correct zijn uiteraard.
Opvolgen
Nog los van een eventuele Schrems III zal ook de Europese Commissie samen met de EDPB over één jaar, dus tegen 10 juli 2024, een review uitvoeren van het DPF. Altijd nuttig om die in de gaten te houden, al mag je ook rekenen op DPI om je daar tijdig over te informeren!
* * *