What is a Transfer Impact Assessment under GDPR?

A Transfer Impact Assessment (TIA) evaluates whether personal data transferred outside the EEA will receive essentially equivalent protection in the destination country. Required after the Schrems II ruling, a TIA examines the recipient country's surveillance laws, government access powers, and available legal remedies. If gaps exist, organizations must implement supplementary measures like encryption or pseudonymization. Meta was fined EUR 1.2B in 2023 partly for inadequate transfer safeguards.

What are Standard Contractual Clauses for international data transfers?

Standard Contractual Clauses (SCCs) are pre-approved contract templates issued by the European Commission that provide legal grounds for transferring personal data outside the EEA. The current version, adopted in June 2021, covers four transfer scenarios: controller-to-controller, controller-to-processor, processor-to-processor, and processor-to-controller. SCCs alone are not always sufficient. After Schrems II, organizations must also verify that the destination country's laws do not undermine the contractual protections.

Grensoverschrijdende gegevensoverdracht

Navigate transfer mechanisms for data leaving the EEA.

Wat is Grensoverschrijdende gegevensoverdracht?

Grensoverschrijdende gegevensoverdrachten onder de AVG verwijzen naar elke verplaatsing van persoonsgegevens vanuit de Europese Economische Ruimte (EER) naar een land dat geen adequaatheidsbesluit heeft ontvangen van de Europese Commissie. Hoofdstuk V van de verordening beperkt deze overdrachten en vereist dat organisaties specifieke waarborgen implementeren voordat persoonsgegevens naar derde landen worden verzonden. Deze oefening plaatst u in een scenario waarin uw organisatie klantgegevens moet overdragen aan een dienstverlener buiten de EER. U beoordeelt of het bestemmingsland een adequaatheidsbesluit heeft en zo niet, selecteert u het passende overdrachtsmechanisme. Het meest gebruikte instrument zijn Standaardcontractbepalingen (SCC's), die de Europese Commissie in juni 2021 heeft bijgewerkt met een modulaire aanpak voor vier overdrachtsscenario's. Maar SCC's alleen zijn niet altijd voldoende. Na het arrest van het Hof van Justitie in Schrems II (Zaak C-311/18, juli 2020) moet u ook een Transferimpactbeoordeling (TIA) uitvoeren die evalueert of de wetgeving van het bestemmingsland in wezen gelijkwaardige bescherming biedt als het EU-recht. De oefening begeleidt u door een realistische TIA, waarin u overheidstoezichtsbevoegdheden, toegang tot rechterlijke toetsing en het bestaan van onafhankelijk toezicht onderzoekt. U oefent aanvullende maatregelen zoals versleuteling en pseudonimisering die beschermingslacunes kunnen overbruggen. De boete van EUR 1,2 miljard aan Meta Platforms in mei 2023 voor ontoereikende overdrachtswaarborgen maakt dit een van de gebieden met het hoogste compliancerisico onder de AVG.

Wat je leert in Grensoverschrijdende gegevensoverdracht

Vaststellen of een bestemmingsland voor gegevensoverdracht een EU-adequaatheidsbesluit heeft of alternatieve waarborgen vereist
De juiste SCC-module selecteren en implementeren voor het specifieke overdrachtsscenario
Een Transferimpactbeoordeling uitvoeren die het wettelijk kader van het bestemmingsland evalueert aan de hand van EU-normen
Aanvullende technische maatregelen zoals versleuteling en pseudonimisering toepassen om geïdentificeerde beschermingslacunes te overbruggen
De overdrachtsrechtvaardiging en waarborgen documenteren om te voldoen aan regelgevingsaudits en verantwoordingsvereisten

Grensoverschrijdende gegevensoverdracht — Trainingsstappen

Introductie

Vandaag heeft de Gegevensbeschermingsautoriteit verzocht om een audit van de internationale gegevensoverdrachten van uw organisatie.
Het auditverzoek

Het auditverzoek van de DPA is specifiek: ze willen documentatie zien voor alle overdrachten van persoonlijke gegevens buiten de Europese Economische Ruimte (EER). Dit omvat het identificeren van: Welke gegevensstromen de EER-grenzen overschrijden Welke overdrachtsmechanismen er zijn (SCC's, adequaatheidsbesluiten, enz.) Of er passende waarborgen bestaan voor elke overdracht U moet de tool Data Flow Diagram gebruiken om alle grensoverschrijdende overdrachten te traceren en documenteren.
Het gegevensstroomdiagram openen

Om uw grensoverschrijdende overdrachten correct te documenteren, moet u via het complianceportaal toegang krijgen tot de Data Flow Diagram-tool. Deze applicatie biedt een visuele weergave van hoe persoonlijke gegevens door de systemen van uw organisatie bewegen - van verzamelpunten tot opslag, verwerking en eventuele overdrachten aan derden. Het diagram helpt u te identificeren welke gegevensstromen binnen de EER blijven en welke internationale grenzen overschrijden.
Het diagram begrijpen

Het Data Flow Diagram toont alle entiteiten die de klantgegevens van InnovateTech verwerken. Elk knooppunt vertegenwoordigt een andere entiteit: betrokkenen (klanten), verwerkingsverantwoordelijken (InnovateTech), verwerkers (externe leveranciers) en opslagsystemen. Knooppunten zijn kleurgecodeerd per locatie: groene knooppunten bevinden zich binnen de EER, terwijl oranje knooppunten zich buiten de EER bevinden en potentiële grensoverschrijdende overdrachtspunten vertegenwoordigen. De lijnen tussen knooppunten laten zien hoe gegevens door uw systemen stromen.
Identificatie van EU-gegevensverzameling

Ten eerste moet u begrijpen waar klantgegevens vandaan komen. InnovateTech verzamelt persoonlijke gegevens van EU-klanten via haar website en mobiele app. Deze gegevens omvatten namen, e-mailadressen, betalingsinformatie en gebruiksanalyses. Selecteer het knooppunt EU-klant om details te bekijken over welke persoonlijke gegevens worden verzameld en hoe deze uw systemen binnenkomen.
Gegevens traceren naar interne systemen

Traceer nu hoe klantgegevens van de verzameling naar uw interne verwerkingssystemen stromen. De EU-klantgegevens komen eerst aan op de EU-server van InnovateTech, die fungeert als het primaire controlesysteem in Dublin, Ierland. Deze initiële stroom blijft volledig binnen de EER; er zijn geen speciale overdrachtsmechanismen vereist voor gegevensoverdracht tussen EU-lidstaten.
Ontdek Amerikaanse cloudopslag

Als u uw analyse voortzet, ontdekt u dat klantgegevens worden gerepliceerd naar AWS US-East voor noodhersteldoeleinden. Dit is een grensoverschrijdende overdracht: gegevens verlaten de EER en gaan naar de Verenigde Staten. De VS hebben geen adequaatheidsbesluit van de Europese Commissie, waardoor voor deze overdracht aanvullende waarborgen nodig zijn.
Identificatie van de Amerikaanse overdracht

Deze overdracht naar AWS US-East vereist zorgvuldige documentatie. De stroom transporteert PII van klanten, inclusief namen, e-mails en accountgegevens, naar servers in Virginia, VS. Omdat de VS geen adequaatheidsbesluit hebben, moet InnovateTech vertrouwen op standaardcontractbepalingen (SCC's) om passende waarborgen voor deze overdracht te bieden. U moet dit formeel identificeren als een grensoverschrijdende overdracht waarvoor nalevingsdocumentatie vereist is.
Het Indiase ondersteuningsteam ontdekken

Uit uw analyse blijkt opnieuw een grensoverschrijdende overdracht: klantgegevens zijn toegankelijk voor het ondersteuningsteam van InnovateTech in Bangalore, India. Ondersteuningsagenten hebben toegang tot klantgegevens om tickets op te lossen en technische ondersteuning te bieden. India beschikt ook niet over een adequaatheidsbesluit, wat betekent dat deze overdracht hetzelfde SCC-kader vereist als de Amerikaanse overdracht.
Identificatie van de India-overdracht

Het ondersteuningsteam in India fungeert als verwerker: zij hebben namens InnovateTech toegang tot klantgegevens om ondersteunende diensten te verlenen. Hiervoor is een Gegevensverwerkingsovereenkomst (DPA) vereist waarin SCC’s zijn opgenomen. Bij deze overdracht zijn andere gegevenscategorieën betrokken dan bij de Amerikaanse opslag, voornamelijk klantcontactgegevens en supportticketgegevens. U moet dit documenteren als een afzonderlijke grensoverschrijdende overdracht.

Wat is Grensoverschrijdende gegevensoverdracht?

Wat je leert in Grensoverschrijdende gegevensoverdracht

Grensoverschrijdende gegevensoverdracht — Trainingsstappen

Introductie

Het auditverzoek

Het gegevensstroomdiagram openen

Het diagram begrijpen

Identificatie van EU-gegevensverzameling

Gegevens traceren naar interne systemen

Ontdek Amerikaanse cloudopslag

Identificatie van de Amerikaanse overdracht

Het Indiase ondersteuningsteam ontdekken

Identificatie van de India-overdracht