Het vertrek uit de Europese Unie had voor het Verenigd Koninkrijk (VK) wel wat voeten in de aarde. Niet alleen moesten er ineens weer invoerrechten op goederen betaald worden, maar ook het in- en uitreizen van personen werd ineens weer beperkt. Ook op het gebied van privacy dreigden vanaf 1 juli 2021 een aantal zaken te veranderen. Hierbij ging het niet om een beperking op het vrij verkeer van personen en goederen, maar wel om een dreigende beperking op de doorgifte van persoonsgegevens. Een adequaatheidsbesluit heeft aan die dreiging nu een einde gemaakt.
Wat achtergrondinformatie is hier wel op zijn plaats. Waar persoonsgegevens binnen de Europese Economische Ruimte (EER) vrij gedeeld mogen worden, uiteraard met inachtneming van de regels hierover zoals opgenomen in de Algemene verordening gegevensbescherming (AVG), geldt dit niet voor het delen van persoonsgegevens met organisaties buiten de EER. Dit is niet (slechts) een belemmering omdat ze niet ‘lid zijn van het clubje’, maar veel meer omdat organisaties buiten de EER mogelijk niet hetzelfde belang hechten aan privacy als organisaties van binnen de EER. Wat veelal weerspiegeld wordt door gebrekkige regelgeving op dit vlak.
Een adequaatheidsbesluit is een seal of approval van de Europese Commissie dat afgegeven kan worden aan een land, of sector in een land, om aan te geven dat dit land weldegelijk een soortgelijk beschermingsniveau erop nahoudt als dat er binnen de Europese Unie geldt. Bijvoorbeeld omdat de regelgeving in dat land sterk overeenkomt met de AVG, zoals wij die hier kennen. Voor het VK is dit adequaatheidsbesluit er nu gekomen.
Het feit dat dit adequaatheidsbesluit er nu is, voorkomt een hoop narigheid. Hoewel er tot 1 juli 2021 nog weinig aan de hand was en er vanuit Europa een oogje werd dichtgeknepen bij de doorgifte van persoonsgegevens naar het VK, dreigde dit na 1 juli 2021 te veranderen. In het geval er geen adequaatheidsbesluit gegeven zou worden, moesten organisaties die gegevens wilden delen met het VK gebruik gaan maken van een mechanisme voor doorgifte, zoals opgenomen in de AVG. Het meest bekend zijn hierbij de Standard Contractual Clauses, welke onlangs ook een update kregen.
Hoewel dat mechanisme dus waarschijnlijk wel gevonden zou kunnen worden, is het een flinke opluchting dat dit nu niet nodig zal zijn. Met dit adequaatheidsbesluit vanuit de Europese Commissie verandert er dus feitelijk niets voor de wijze waarop er gegevens gedeeld kunnen worden met het VK.
Let wel, dit adequaatheidsbesluit is niet voor eeuwig. Voor het eerst is er namelijk een zogeheten ‘sunset clause’ opgenomen. Deze houdt in dat er over vier jaar opnieuw door de Commissie beoordeeld zal worden of het niveau van bescherming in het VK nog in lijn is met het niveau van bescherming hier. Zolang regelgeving op het gebied van privacy echter niet verandert, lijkt niet veel een nieuw adequaatheidsbesluit over vier jaar in de weg te staan.
Wie de film ‘Johnny English’ ooit gezien heeft, zal niet gerust zijn op eventuele controle vanuit de Britse autoriteiten en veiligheidsdiensten op- en inzage in onze persoonsgegevens. In de nasleep van de Schrems II uitspraak zijn er dan ook strikte afspraken gemaakt over de inmenging van de Britse autoriteiten hierin. Voordat bijvoorbeeld de Britse inlichtingendiensten toegang mogen krijgen tot gegevens van Europese burgers, die onderdeel zijn van de doorgifte naar een organisatie in de VK, zal er hiervoor eerst toestemming gegeven moeten worden door een onafhankelijke rechter. Hierbij zal met name streng getoetst worden op de principes van proportionaliteit en subsidiariteit. En wanneer het dan toch toegelaten wordt, staat het elke burger vrij om hierover een klacht in te dienen.
Net als in de Johnny English-film loopt dus ook dit verhaal goed af. Met het adequaatheidsbesluit ligt de weg open voor verdere samenwerking met organisaties gevestigd in het VK en kunnen organisaties daar opgelucht ademhalen. Geen gekke juridische constructies om diensten aan te bieden aan organisaties in de EER, maar een simpel besluit vanuit de Commissie dat de deur voor samenwerking openzet. Ook na Brexit!
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.