De Brexit en de doorgifte van persoonsgegevens aan het Verenigd Koninkrijk

De Algemene Verordening Gegevensbescherming (AVG) geldt in de gehele Europese Unie, plus Noorwegen, Liechtenstein en IJsland. Samen worden deze landen de Europese Economische Ruimte (EER) genoemd. Omdat de AVG  niet van toepassing is op landen buiten de EER, gelden er aparte regels voor de doorgifte van persoonsgegevens aan die landen. Vanaf 30 maart 2019 maakt het Verenigd Koninkrijk (VK) geen deel meer uit van de Europese Unie. Wat heeft dit voor gevolgen voor de doorgifte van persoonsgegevens aan organisaties die gevestigd zijn in het VK?

No-dealbrexit

Als er op 30 maart 2019 om 0.00 uur nog geen overeenstemming is bereikt tussen de EER en het VK over de Brexit,  dan is er sprake van een zogenaamde “no-dealbrexit”. In dat geval zullen er vanaf die datum andere regels gaan gelden voor de doorgifte van persoonsgegevens aan het VK. Dat betekent dat Nederlandse organisaties die persoonsgegevens doorgeven aan organisaties die in het VK zijn gevestigd daar niet zonder meer mee door mogen gaan. De Europese privacy toezichthouders, verenigd in de European Data Protection Board (EDPB), hebben meer duidelijkheid gegeven over de  privacyregels bij een no-dealbrexit. Lees hierover meer in de publicatie van de EDPB: ‘Instructies doorgifte gegevens naar het VK bij no-dealBrexit’. Kort samengevat staat daarin dat doorgifte van persoonsgegevens naar het VK in geval van een no-dealbrexit alleen mag als er sprake is van een van de volgende vier waarborgen.

1.Modelbepalingen. Er zijn standaardbepalingen beschikbaar die door de Europese Commissie zijn goedgekeurd.

2.Bindende bedrijfsvoorschriften, ook wel Binding Corporate Rules (BCR) genoemd. Dit zijn bedrijfsvoorschriften die door een groep (multinationale) ondernemingen worden gebruikt. BCRs kunnen worden ingevoerd na goedkeuring door de bevoegde nationale toezichthoudende autoriteit en na advies van de EDPB.

3. Gedragscodes of certificeringsmechanismen. Dit is een nieuwe oplossing en over de precieze invulling bestaat nog onduidelijkheid. Het EDPB werkt aan richtsnoeren om meer uitleg te geven.

4. Afwijkingen. In incidentele gevallen is doorgifte van persoonsgegevens ook mogelijk als er geen waarborg van toepassing is zoals genoemd onder 1 t/m 3. Dat is het geval als een natuurlijk persoon is voorgelicht over de risico’s en uitdrukkelijk heeft ingestemd met de doorgifte van zijn persoonsgegevens of als de doorgifte noodzakelijk is a) voor het sluiten of het uitvoeren van de overeenkomst b) vanwege zwaarwegende redenen van algemeen belang, of c) vanwege dwingende gerechtvaardigde belangen van de organisatie.

Toch een deal?

Komt er op de valreep toch nog een deal tot stand? Dan zal aan de hand van de gemaakte afspraken beoordeeld moeten worden wat de gevolgen zijn voor de doorgifte van persoonsgegevens. Uit de tekst van het concept van de Brexit Agreement blijkt dat het de bedoeling is dat er een overgangsperiode wordt overeengekomen tot 31 december 2020. Binnen deze overgangsperiode zou de AVG blijven gelden en is het dus niet nodig dat er extra maatregelen worden genomen ter bescherming van persoonsgegevens. Het VK heeft in dat geval tot het einde van de overgangsperiode de tijd om een adequaatheidsbesluit te verkrijgen. Een adequaatheidsbesluit kan worden genomen door de Europese Commissie als zij van oordeel is dat het betreffende land een beschermingsniveau heeft dat gelijkwaardig is aan het beschermingsniveau van de EER.  Als dat adequaatheidsbesluit wordt afgegeven dan kan de doorgifte van persoonsgegevens ook ná de overgangsperiode op dezelfde voet worden voortgezet.

Wat de gevolgen zijn van de Brexit op de doorgifte van persoonsgegevens aan het VK is dus afhankelijk van de vraag of er nog een deal wordt bereikt tussen het VK en de EER. Geef je persoonsgegevens door aan het VK? Dan is het van belang om de ontwikkelingen te volgen en om alvast vooruit te lopen op de gevolgen van een no-dealbrexit.

Sanne Kleerebezem

Rechtsgebieden

Share on facebook
Share on google
Share on twitter
Share on linkedin

Rechtsgebieden (niet verwijderen)

Okkerse & Schop Advocaten maakt voor deze website gebruik van cookies en daarmee vergelijkbare technieken. Cookies zijn kleine digitale tekstbestanden die in de browser worden geplaatst bij het bezoek aan een website. Okkerse & Schop Advocaten gebruikt functionele cookies om de website naar behoren te laten functioneren. Analytische cookies worden gebruikt om het websitegebruik te analyseren en de website te verbeteren. Met het gebruik van functionele cookies en analytische cookies worden geen persoonsgegevens verwerkt. U kunt uw cookievoorkeuren op ieder moment aanpassen door de instellingen van de browser te wijzigen. Raadpleeg ons privacy- en cookie statement voor meer informatie.