Brexit is een feit: hoe zit het met mijn leveranciers in het VK?

Het heeft een goede 3,5 jaar geduurd, maar op 17 oktober 2019 bereikten de Britten en de Europese Unie (EU) eindelijk een uittredingsakkoord. Op 31 januari 2020, middernacht was het dan zover: de Britten stapten uit de EU en Brexit was een feit. Het proces kostte het land uitdagende onderhandelingen, twee premiers en vele beslissende dagen. Voor velen leidde dit tot een dag van grote vreugde, terwijl anderen deze historische gebeurtenis eerder zagen als een zwarte bladzijde in de geschiedenis. Wat staat de Britten namelijk te wachten: zelfstandigheid en onafhankelijkheid, of chaos en onduidelijkheid? In dit artikel schetsen we de mogelijke risico’s op het gebied van privacy en het (laten) verwerken van persoonsgegevens in het Verenigd Koninkrijk (VK).

‘Business as usual’?

De grootste horde lijkt genomen, maar niets is minder waar: een no-deal Brexit is nog steeds mogelijk. Tot en met 31 december 2020 geldt er in ieder geval een overgangsfase. Dat betekent dat tot het eind van dit jaar alle Europese wetten en regels gewoon blijven gelden in het VK. Voor burgers, maar ook voor bedrijven verandert er vrijwel niks in 2020. Dat betekent niet dat men stil hoeft te zitten. Deze periode is bedoeld ter voorbereiding op de nieuwe afspraken tussen het VK en de EU over hun toekomstige relatie. Mochten partijen er niet uitkomen, dan kan de overgangsfase eenmalig verlengd worden met twee jaar tot 31 december 2022. Premier Johnson is echter niet van plan daar gebruik van te maken. Komen de afspraken niet rond? Dan volgt alsnog een no deal-Brexit op 1 januari 2021.

Tot en met 31 december 2020 blijven zowel de Algemene verordening gegevensbescherming (AVG) als de Britse uitvoeringswet daarvan – de UK Data Protection Act – dus gewoon gelden in het VK. Voor de huidige verwerkingen van persoonsgegevens dus (nog) geen paniek: hosting in het VK is bijvoorbeeld voor nu geen probleem. De Information Commissioner’s Office (ICO), de Britse privacytoezichthouder, is hier ook duidelijk over: tot het eind van dit jaar is het ‘business as usual’. Iedere organisatie die persoonsgegevens verwerkt, binnen en buiten het VK, heeft zich aan de AVG te houden.

Zit ik nu dus veilig met mijn Britse (IT-)leverancier?

De ICO heeft als uitgangspunt dat, deal of no-deal, de AVG na de overgangsperiode zal worden geïmplementeerd als de ‘UK GDPR’ (de Engelse term voor de AVG) en dat er hoe dan ook dus praktisch weinig zal veranderen. Als zo’n UK GDPR er spoedig komt, gaat men ervan uit dat de Europese Commissie zo snel mogelijk een adequaatheidsbesluit zal nemen over het VK. Ter opfrissing van het geheugen: dat betekent dat de Commissie heeft bepaald dat het land een vergelijkbaar beschermingsniveau heeft op het gebied van persoonsgegevens als de EU. Het land wordt hiermee als ‘veilig’ bestempeld om persoonsgegevens naar door te geven. Landen zonder zo’n stempel zijn ‘derde landen’, waarvoor op een andere manier passende waarborgen dienen te worden getroffen om persoonsgegevens te beschermen. Tot nu toe is dit besluit genomen voor een handjevol landen, waaronder Argentinië, Canada (alleen voor commerciële organisaties), Japan en Nieuw-Zeeland.

Dit klinkt logisch en lijkt meteen de gemakkelijkste en meest praktische oplossing, maar de AVG blijft de strengste privacywetgeving ter wereld. Het is dus zeer aantrekkelijk voor lobbyisten om te proberen hier en daar wat woordjes en komma’s toe te laten voegen en toch aan dat beschermingsniveau af te doen. Hoe meer er aan de Britse AVG gesleuteld gaat worden, hoe kleiner de kans dat we na de overgangsperiode veilig zitten in het VK en hoe langer het gaat duren totdat zo’n besluit genomen gaat worden, als het al genomen gaat worden.

Wat te doen na 31 december 2020?

In plaats van te wachten of er wel of niet een adequaatheidsbesluit gaat komen, zoekt een aantal organisaties heil in de Standard Contractual Clauses (SCC’s of modelclausules) om de doorgifte naar het VK te dekken. De door de Europese Commissie opgestelde modelclausules dekken ofwel de doorgifte van een Europese verantwoordelijke naar een niet-Europese verantwoordelijke, ofwel de doorgifte van een Europese verantwoordelijke naar een niet-Europese verwerker. De SCC’s dekken niet alle doorgifte-situaties: wat nou als je als Nederlandse softwareleverancier (lees: verwerker) een Britse hostingpartij (lees: subverwerker) hebt ingeschakeld? Partijen proberen hier nog wel eens contractuele oplossingen voor te zoeken, zoals volmachten vanuit de verantwoordelijke, maar praktisch is het niet. Los daarvan zijn de modelclausules niet alleen oud (respectievelijk uit 2001, 2004 en 2010), ze zijn ook zwaar bekritiseerd door zowel contracterende partijen als toezichthouders. Daar bovenop komt nog dat lang niet alle Britse organisaties bereid zijn om de SCC’s te accepteren.

Een ander aandachtspunt is het grote aantal aan reeds gesloten verwerkersovereenkomsten. Het sluiten van zo’n overeenkomst is weliswaar verplicht, maar ze zijn daardoor ook sterk gestandaardiseerd en weinig kritisch uitonderhandeld. Ze bevatten vaak standaardbepalingen als ‘doorgifte naar landen buiten de Europese Economische Ruimte is alleen toegestaan met toestemming van Verwerkingsverantwoordelijke’, of hetzelfde voor het inschakelen of wijzigen van subverwerkers. Wanneer het VK een derde, juridisch gezien onveilig, land wordt, plaatst dit verwerkers in een lastige situatie: welke verwerkingsverantwoordelijke gaat nog toestemming geven voor subverwerkers in het chaotische en onzekere Brexit-land? En komt die toestemming er dan niet, is het dan kiezen uit twee kwaden: ofwel het contract beëindigen, ofwel alle data verhuizen naar een Europese leverancier? Het blijft afwachten hoe dit in de praktijk zal gaan uitpakken en hoe organisaties hiermee omgaan.

Wellicht nodeloos om te vermelden, maar een laatste manier om veilig te zitten is om alle betrokkenen toestemming te vragen voor doorgifte naar een derde land. Dit is natuurlijk allerminst efficiënt.

Afsluitend

Zowel Europese als Britse organisaties hoeven zich op dit moment nog geen zorgen te maken over hun Britse (sub)leveranciers vanwege de overgangsperiode. Dat betekent niet dat ze stil moeten zitten. We raden aan om de ontwikkelingen rondom de Brexit nauwlettend in de gaten te houden. De kans op een no-deal Brexit is namelijk nog steeds aanwezig en zelfs bij een deal blijft het goed opletten.

Het inschakelen van een (sub)leverancier in het VK is na de overgangsperiode juridisch gezien waarschijnlijk niet helemaal zuiver. Er kan worden gekozen voor verhuizen naar de EU (duur), voor het sluiten van modelclausules, of men wacht een adequaatheidsbesluit van de Commissie af met het risico dat in de tussentijd gegevens worden verwerkt in een land zonder passende waarborgen (lees: overtreding van de AVG). Wat commercieel gezien de meest wenselijk oplossing is, blijft aan een organisatie zelf.


Nog meer actuele artikelen over ICT, privacy en recht lezen?

Dit artikel is gepubliceerd in de nieuwste editie van ons tijdschrift ‘ICTRecht in de praktijk’. Vanwege de coronacrisis willen wij u graag toegang geven tot extra artikelen op het gebied van ICT, privacy en internetrecht. Daarom stellen wij nu eenmalig de net verschenen april editie van ons tijdschrift 'ICTRecht in de praktijk' beschikbaar. Laat u e-mailadres achter via onderstaande link en ontvang het volledige tijdschrift direct in uw mailbox. 

Ik wil het volledige tijdschrift ontvangen

Terug naar overzicht