Blog

Brexit-serie deel 2: privacyrecht

De kranten en journaals worden al geruime tijd beheerst door de Brexit. En terecht, want het is groot en belangrijk nieuws. In 2016 gaven de Britten in een raadgevend referendum aan uit de Europese Unie (EU) te willen stappen. Sindsdien is de vraag – met name – op welke wijze het Verenigd Koninkrijk (VK) uit de EU gaat stappen. De Britse premier May heeft al meermaals geprobeerd een deal te bereiken tussen de EU en het VK . Het Britse lagerhuis wijst een deal echter steeds af. De vraag is hoe het nu verder moet.

Voor het recht kan een Brexit grote gevolgen hebben. Er bestaat veel Europese regelgeving, bijvoorbeeld op het gebied van intellectueel eigendom, het consumentenrecht en privacy. In hoeverre is deze Europese regelgeving nog van toepassing op het VK als het VK uit de EU stapt?

Om antwoord op deze vraag te geven, hebben we besloten om een Brexit-serie te maken. In deze serie zullen een aantal blogs verschijnen waarin de gevolgen van een eventuele Brexit – op de rechtsgebieden waarin we zijn gespecialiseerd – worden uiteengezet. Vandaag het tweede deel in de serie. Wat zijn de gevolgen van de Brexit in het licht van het privacyrecht? Lees hier de andere delen:

 

Doorgifte van persoonsgegevens

De Algemene Verordening Gegevensbescherming (AVG) is alleen van toepassing op de verwerking van persoonsgegevens van personen die zich in de Europese Economische Ruimte verblijven (EU + Liechtenstein, Noorwegen en IJsland). Als het Verenigd Koninkrijk (VK) zonder deal uit de EU stapt, is de AVG daardoor niet meer van toepassing op het VK.

Dit heeft tot gevolg dat het VK volgens de AVG een ‘derde land’ wordt. De grootste verandering die dat met zich meebrengt is dat persoonsgegevens op grond van de AVG niet langer zomaar aan het VK mogen worden doorgegeven.

Europees standpunt

De Europese privacytoezichthouders, waaronder de Autoriteit Persoonsgegevens, zijn verzameld in de European Data Protection Board (EDPB). De EDPB heeft al in januari van dit jaar meer duidelijkheid gegeven over de juiste naleving van de privacyregels bij een no deal-brexit. Ze heeft daarvoor een guidance document opgesteld. In het guidance document schetsen de toezichthouders hoe bedrijven en organisaties zich kunnen voorbereiden op de mogelijke gevolgen van een no deal-Brexit.

Hieruit volgt inderdaad dat het VK bij een no deal-Brexit een zogeheten derde land zal worden. De doorgifte van persoonsgegevens aan organisaties in het VK zal dan gebaseerd moeten worden op andere instrumenten dan het vrije verkeer van gegevens zoals geregeld in de AVG.

Doorgifte aan een derde land: opties

Doorgifte aan een derde land is volgens de AVG toegestaan op de volgende verschillende manieren.

Adequaatheidsbesluit

De belangrijkste manier is via een besluit van de Europese Commissie waarin staat dat een derde land een ‘passend beschermingsniveau’ biedt. Dat heeft de Commissie bijvoorbeeld al gedaan bij Canada, Nieuw-Zeeland en deels voor de VS. Omdat de Commissie pas gaat besluiten over zo’n oordeel als het VK een derde land is, zal het besluit niet meteen klaarliggen als het VK uit de EU zou stappen. Momenteel is dit dus geen passende oplossing.

Modelcontracten

De optie die overblijft is via ‘passende waarborgen’ en daar vallen verschillende instrumenten onder.

De eerste houdt in dat er met een organisatie in een derde land een modelcontract kan worden gesloten. Dat is een contract met daarin standaardbepalingen (zogenaamde Standard Contractual Clauses) die door de Commissie zijn vastgesteld. Van deze standaardbepalingen mag dan niet worden afgeweken (ze kunnen onder omstandigheden wel worden aangevuld). Als dit contract tussen de exporteur en importeur van de data wordt overeengekomen, kunnen de persoonsgegevens worden doorgegeven.

De Commissie heeft drie categorieën standaardbepalingen vastgesteld, te weten:

  • 2001/497/EC – voor een verwerkingsverantwoordelijke in de EU en een verantwoordelijke in het VK;
  • 2004/915/EC – wat een alternatief is voor de voorgaande bepalingen;
  • 2010/87/EC  – voor een verwerkingsverantwoordelijke in de EU en een verwerker in het VK.

Aangezien er een contract nodig is tussen iedere betreffende exporteur en importeur, is dit vele malen beperkter dan als een heel land wordt aangemerkt als privacy-proof.

Voordat de gegevens daadwerkelijk worden doorgegeven, moeten eventuele op maat gesneden contractuele bepalingen (zogenaamde Ad-hoc Contractual Clauses) worden goedgekeurd door de bevoegde nationale toezichthoudende autoriteit, zoals de Autoriteit Persoonsgegevens, na advies van de EDPB.

Binding Corporate Rules

Een tweede optie is via bindende bedrijfsvoorschriften (Binding Corporate Rules). Hiervoor heeft de EDPB een apart document met instructies gepubliceerd. Als een bedrijf een beleid voert met vastgestelde privacyregels, dan kan er tussen verschillende vestigingen van datzelfde bedrijf – die zich bijvoorbeeld in Nederland en het VK bevinden – doorgifte van gegevens plaatsvinden. Voorwaarde is wel dat deze regels voor iedereen uit het bedrijf juridisch bindend moeten zijn en moeten worden goedgekeurd door de nationale toezichthoudende autoriteit (in Nederland: de Autoriteit Persoonsgegevens). Een hele opgave dus.

Certificeringsmechanismen

Een derde optie is via gedragscodes of certificeringsmechanismen. Nadat deze zijn opgesteld moeten ze door de AP worden goedgekeurd. Ten aanzien van een certificeringsmechanisme is vereist dat er ook bindende en afdwingbare toezeggingen worden gedaan door het bedrijf uit het derde land. Deze gereedschappen zijn nieuw binnen de AVG en de EDPB werkt aan richtsnoeren om meer
uitleg te geven over de geharmoniseerde voorwaarden en procedure om deze gereedschappen te gebruiken. Momenteel lijkt dit dus ook nog geen passende oplossing.

Afwijkingen

Tot slot zijn er nog enkele andere mogelijkheden. Deze staan in artikel 49 AVG. De EDPB benadrukt dat deze manieren eigenlijk alleen bedoeld zijn voor incidentele en niet-repetitieve doorgifte. Op grond van artikel 49 mogen gegevens bijvoorbeeld worden doorgegeven als er per afzonderlijke doorgifte uitdrukkelijke toestemming is verkregen of als de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst. De EDPB heeft hiervoor nadere instructies gegeven.

Doorgifte VK naar EER

Het voorgaande ziet op de situatie doorgifte vanuit de EER naar het VK. En andersom? Dat zou geen probleem moeten vormen volgens de Britse regering. 

Met de stemming voor de deur is het afwachten of het daadwerkelijk nodig is om maatregelen te nemen.

5 praktische tips bij verwerking van persoonsgegevens in geval van een no deal-Brexit

Wanneer uw bedrijf of organisatie persoonsgegevens doorgeeft aan het VK moet u het volgende doen om u voor te bereiden op een no deal-Brexit:

• Vaststellen bij welke verwerkingsactiviteiten er persoonsgegevens aan organisaties in het VK worden doorgegeven;

• Bepalen welk instrument voor de doorgifte van persoonsgegevens in uw situatie van toepassing is (zie hiervoor);

• Ervoor zorgen dat het gekozen instrument voor de doorgifte van persoonsgegevens op 30 maart 2019 om 0:00 uur klaar is voor gebruik;

• In uw interne documenten aangeven dat er persoonsgegevens aan het VK worden doorgegeven;

• Uw privacyverklaring aanpassen om de lezers van de nieuwe situatie op de hoogte te stellen.

Wilt u advies over uw specifieke situatie? Neem contact met ons op.

 

 

 

Gerelateerde berichten