Zodra in een online dienst persoonsgegevens worden gebruikt is de vraag wat de leverancier van de dienst met deze persoonsgegevens doet: de verwerking of doorgifte moet immers in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG) plaatsvinden.
Regelmatig worden deze online diensten aangeboden door partijen die gevestigd zijn in de Verenigde Staten. Of voor een deel van hun aangeboden dienstverlening afhankelijk zijn van een partij die vanuit daar werkzaam is. In dat geval is de kans reëel dat er persoonsgegevens worden doorgeven aan en/of worden verwerkt in de VS. Sinds het Schrems II-arrest van het Europese Hof van Justitie is dat een probleem en dit wordt bevestigd in recent aanhangig gemaakte procedures waarin naleving van het verbod op doorgifte van persoonsgegevens naar de VS wordt afgedwongen.
Het achterhalen welke partij nu exact welke verwerking doet bij een dergelijke online dienst kan een uitdaging zijn. Hoewel de AVG vereist dat een verwerkingsverantwoordelijke hier volledig inzicht in heeft en dit inzicht verschaft aan de betrokkene, is dat in de praktijk vaak een uitdaging. Het gevolg: een lastige zoektocht voor de juridische afdeling samen met de interne opdrachtgever met als kernwoorden DPIA en DTIA.[3]
Door de NGB Werkgroep Digitalisering, op voorzet van mr. Willem-Jan Ribberink en mr. Rob Haen.
Met medewerking van:
- Mr. Jur Deckers van de Sectie Privacy-recht voor controle op de eindtekst
- Mr. Debby Sikking bij het overdenken van de initiële opzet van dit artikel
