Brexit en privacy


(c) by Rlevente under Creative Commons License.

Bij een no-deal moet u rekening houden met aanpassingen in uw persoonsgegevensbeleid als u persoonsgegevens uitwisselt met het Verenigd Koninkrijk.

Wat voor gevolgen zal de Brexit hebben?

Op dit moment is een vrije doorgifte van persoonsgegevens met het Verenigd Koninkrijk mogelijk op basis van de AVG. De Brexit zal gevolgen hebben voor deze doorgifte van persoonsgegevens aan het Verenigd Koninkrijk (VK) vanuit de Europese Unie (EU). Andersom is minder een probleem, maar dat is afhankelijk van keuzes die het VK maakt terzake. Dit is afhankelijk van wat voor soort Brexit strategie uiteindelijk wordt gekozen door het VK. Er is sprake van doorgifte van persoonsgegevens aan het VK als u bijvoorbeeld zakendoet met een Brits bedrijf (verwerker) voor de salarisadministratie van uw werknemers of indien u bepaalde marketingactiviteiten laat uitvoeren door een Britse onderaannemer.

Het is op het moment van schrijven van deze bijdrage nog niet bekend of het VK de EU met een deal of zonder deal zal verlaten. Ook het is het mogelijk dat de Brexitdatum wordt uitgesteld of dat het VK de Brexit eenzijdig annuleert. In deze blog schetsen wij kort de gevolgen van deze opties voor de doorgifte van persoonsgegevens met het VK en wat u kunt doen om u voor te bereiden op Brexit.

Deal, uitstel of annulering Brexit

Indien het Britse parlement alsnog instemt met het uittredingsakkoord zal er op de uittredingsdatum vooralsnog niets veranderen. Het VK zal dan een transitieperiode van 2 jaar ingaan, waarin de AVG van toepassing zal blijven. Het is nog onbekend wat er na deze transitieperiode zal gebeuren. Indien het VK besluit om Brexit te annuleren, zal de AVG uiteraard van toepassing blijven.

No-deal Brexit

Ingeval van een no-deal Brexit zal het VK worden gezien als een derde landin de zin van artikel 44 AVG. Dit betekent dat doorgifte van persoonsgegevens aan bedrijven (of onderdelen van uw bedrijf) in het VK alleen zal zijn toegestaan onder bepaalde omstandigheden. Deze omstandigheden worden hieronder geschetst.

Adequaatheidsbesluit

De Europese Commissie kan besluiten dat het VK voldoet aan de Europese standaarden voor bescherming van persoonsgegevens. Dit vereist een formele procedure en het is onwaarschijnlijk dat dit besluit direct op 29 maart 2019 zal worden genomen. Hier kunt u dus op korte termijn niet op rekenen.

Modelcontract

Het sluiten van een modelcontract met uw wederpartij in het VK zorgt ervoor dat de doorgifte zal zijn toegestaan. Het gaat dan om de modelcontracten die zijn goedgekeurd door de Europese Commissie. Er zijn modelcontracten voor de volgende situaties:

  • Verantwoordelijke NL -> verantwoordelijke VK;
  • Verantwoordelijke NL -> verwerker VK.

Deze modelcontracten mag u vervolgens niet meer inhoudelijk wijzigen, maar wel aanvullen met bijlages of opnemen in bredere raamovereenkomsten, zolang de inhoud van de modelcontracten niet wordt doorkruist.

De modelcontracten kunt u hier vinden: https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en

Gedragscode

U kunt zich aansluiten bij een gedragscode die passende waarborgen biedt voor uw specifieke sector of branche. U dient eerst na te gaan of er een dergelijke gedragscode voor uw specifieke sector of branche bestaat.

Bindende bedrijfsvoorschriften

Een internationaal opererend concern of multinational kan doorgifte van persoonsgegevens toestaan door bindende bedrijfsvoorschriften te nemen voor al haar bedrijfsonderdelen. Deze bindende bedrijfsvoorschriften moeten dan garanderen dat de AVG in alle onderdelen van het bedrijf wordt nageleefd, ook al bevinden sommige onderdelen van het bedrijf zich buiten de EU, zoals in het geval van een no-deal Brexit. Deze aanpak vergt een intensieve implementatie en is geen optie voor de korte termijn.

Uitzonderingen (restrictief)

Er gelden uitzonderingen op het verbod op doorgifte van persoonsgegevens aan derde landen, maar deze uitzonderingen gelden hoofdzakelijk voor incidentele verwerkingen en moeten restrictief worden toegepast.

Zo kan de doorgifte zijn toegestaan als u expliciete toestemming van uw betrokkenen verkrijgt voor de doorgifte, wanneer de doorgifte noodzakelijk is voor het uitvoeren van een contract gesloten tussen de verantwoordelijke en de betrokkenen, wanneer doorgifte noodzakelijk is gelet op zwaarwegende redenen van algemeen belang of wanneer er sprake is van dwingende gerechtvaardigde belangen van de organisatie.

Deze uitzonderingen zijn dus alleen bedoeld voor bijzondere situaties.

Bereid u voor!

Het is belangrijk dat u in kaart brengt of en welke persoonsgegevens in uw organisatie worden uitgewisseld met het VK. Indien u goed voorbereid bent op de Brexit, en met name een no-deal Brexit, kunt u de risico’s voor uw gegevensbeschermingsbeleid minimaliseren.

Uiteraard kunnen wij u helpen.

Zie ook: https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/internationaal-gegevensverkeer/doorgifte-binnen-en-buiten-de-eu#waar-kan-ik-meer-informatie-vinden-over-de-gevolgen-van-een-no-dealbrexit-7087