Wat te doen met persoonsgegevens bij een no-deal Brexit?

    - - / 5 March 2019

    Onlangs schreven we een blog over de gevolgen van een no-deal Brexit voor uw (IT-)bedrijf. We verkenden hierin de consequenties voor het verwerken van persoonsgegevens, uw intellectueel eigendom, de rechts- en forumkeuze in uw contracten en de regels betreffende belastingen. Wij gaven destijds ook aan dat er nog geen reden was voor totale paniek, aangezien het Verenigd Koninkrijk een no-deal Brexit het liefst wil voorkomen. De druk in het Britse parlement loopt inmiddels echter verder op... Wij praten u bij in deze blog.

    Deadline Brexit komt steeds dichterbij

    Op 12 maart is alweer de eerstvolgende stemming over het huidige uittredingsvoorstel en 29 maart zou de Brexit al moeten plaatsvinden. Het lijkt echter niet waarschijnlijk dat een meerderheid vóór de door de Britse premier Therese May onderhandelde afspraken stemt. Zij heeft dan ook aangegeven dat het parlement, na een mogelijke verwerping van haar voorstel, mag stemmen over uittreding zonder akkoord (een no-deal Brexit). Als het parlement daar óók niks in ziet, wil ze vervolgens een stemming over uitstel van de Brexit. Er heerst op dit moment dus veel onzekerheid over de uitvoering van Britse uittreding. De kans op een no-deal Brexit wordt door ingewijden zelfs op meer dan 50% wordt geschat.

    Hoewel een uittredingsakkoord tussen het Verenigd Koninkrijk en de Europese Unie nog steeds mogelijk is, ofwel op 12 maart of later, kunt u zich in deze tijden van Britse politieke chaos maar het beste op het no-deal scenario voorbereiden. De Europese privacy-toezichthouders delen deze mening, aangezien zij recentelijk extra instructies over het verwerken van persoonsgegevens bij een no-deal hebben gepubliceerd. Ondanks dat dit onderwerp in onze vorige blog al (beknopt) aan bod is gekomen, willen we u deze informatie zeker niet onthouden. Bij deze dus onze ‘’special over persoonsgegevens’’.

    Voor meer informatie over Brexit-vouchers, scroll door naar het einde van deze blog.

    Wat is het (privacy)probleem bij een no-deal?

    Zodra het Verenigd Koninkrijk zonder nadere afspraken uit de Europese Unie stapt, zal de Algemene Verordening Gegevensbescherming (AVG) daar niet meer van toepassing zijn. Het Verenigd Koninkrijk kwalificeert vanaf dat moment als een ‘’derde land’’ onder de AVG. Hierdoor is de onbelemmerde doorgifte van persoonsgegevens vanuit de Europese Unie alleen toegestaan als het Verenigd Koninkrijk een passend beschermingsniveau biedt. Dit passende beschermingsniveau moet expliciet erkend worden door de Europese Commissie door middel van een ‘’adequaatheidsbesluit’’.

    Aangezien het Verenigd Koninkrijk de AVG reeds geïmplementeerd heeft, en zich daar op dit moment ook aan houdt, is het onwaarschijnlijk dat het beschermingsniveau in het Verenigd Koninkrijk opeens een stuk lager ligt. Hier heeft de Europese Commissie echter geen boodschap aan: het duurt meestal één tot enkele jaren voordat een adequaatheidsbesluit wordt genomen. Dit is recentelijk ook bevestigd door de voorzitter van het Europees Comité voor gegevensbescherming (EDPB), Giovanni Buttarelli. Hij gaf aan dat de kans groot is dat er de komende jaren nog niks gaat gebeuren, wat betreft een adequaatheidsbesluit.

    Dit betekent dat vanaf het moment van een no-deal Brexit, en tot het moment van een adequaatheidsbesluit, er passende waarborgen getroffen moeten worden om persoonsgegevens door te mogen geven aan het Verenigd Koninkrijk. De AVG noemt enkele instrumenten die gelden als ‘passende waarborgen’. Wij geven hieronder aan wanneer u deze waarborgen moet treffen, welke instrumenten voor u geschikt kunnen zijn en waar u verder rekening mee moet houden.

    Stappenplan vanuit de privacy-toezichthouders

    In bepaalde gevallen moet dus actie ondernomen worden. Hoe weet u wanneer dit voor u het geval is? De privacy-toezichthouders hebben hier, als onderdeel van hun instructies, een praktisch stappenplan voor opgesteld:

    1. Stel vast bij welke verwerkingsactiviteiten er persoonsgegevens naar het Verenigd Koninkrijk doorgegeven worden.

    Het gaat hierbij alleen om de doorgifte van persoonsgegevens waar u verantwoordelijk voor bent. Dit zijn situaties waarin u als verwerkingsverantwoordelijke gegevens (van klanten bijvoorbeeld) doorgeeft aan een verwerker of een mede-verwerkingsverantwoordelijke in het Verenigd Koninkrijk.

    Het is daarnaast belangrijk om op te merken dat dit alleen gaat om verwerkingen waarbij er persoonsgegevens vanuit de Europese Unie naar het Verenigd Koninkrijk doorgegeven worden. De Engelse privacy-toezichthouder heeft aangegeven dat de doorgifte van persoonsgegevens vanuit het Verenigd Koninkrijk naar de Europese Unie zonder verdere maatregelen plaats kan vinden.

    1. Bepaal welk instrument voor de doorgifte van persoonsgegevens in uw situatie van toepassing is.

    Het gaat hier om passende of geschikte waarborgen voor de doorgifte naar derde landen. De instrumenten die als passende waarborgen kunnen dienen worden in de AVG genoemd; de verschillende mogelijkheden worden hieronder besproken. Daarbij geven we ook aan wat voor u de meest praktische oplossing kan zijn.

    1. Zorg ervoor dat het gekozen instrument voor de doorgifte van persoonsgegevens op 30 maart 2019 klaar is voor gebruik.

    Deze deadline geldt alleen als er op dat moment sprake is van een no-deal Brexit. Indien het Britse parlement een deal met de Europese Unie goedkeurt, is er sprake van een overgangsperiode van twee jaar. Dit betekent dat de AVG tot 2020 van kracht blijft in het Verenigd Koninkrijk. Daarnaast kan de Brexit nog uitgesteld worden. In dat geval moet u nagaan wat de volgende ‘deadline-day’ wordt. 

    1. Geef in interne documenten aan dat er persoonsgegevens naar het Verenigd Koninkrijk doorgegeven worden.

    De AVG verplicht verwerkingsverantwoordelijken en verwerkers om in hun verwerkingsregister aan te geven dat er persoonsgegevens naar ‘derde landen’ doorgegeven worden. 

    1. Pas uw privacyverklaring aan om lezers van de nieuwe situatie op de hoogte te stellen.

    U moet aangeven dat persoonsgegevens van betrokkenen naar het Verenigd Koninkrijk doorgegeven worden. Daarnaast moet u aangeven voor welke ‘instrumenten voor doorgifte’ u heeft gekozen en waar de betrokkene deze instrumenten kan inzien.

    Dit kan er als volgt uitzien: ‘’Wij geven uw persoonsgegevens door aan bedrijven in het Verenigd Koninkrijk. Sinds [datum] is het Verenigd Koninkrijk geen onderdeel meer van de Europese Unie en kunnen persoonsgegevens alleen doorgegeven worden als er passende of geschikte waarborgen zijn. Wij hebben gekozen voor het gebruik van [bijvoorbeeld: modelclausules], die u hier kunt opvragen.’’

    Instrumenten die als ‘passende waarborg’ gelden

    De AVG noemt verschillende instrumenten die als ‘passende waarborg’ kunnen gelden. We noemen ze hieronder en geven bij elk instrument aan wanneer deze geschikt is.

    1. Modelclausules: dit zijn standaardbepalingen die door de Europese Commissie zijn goedgekeurd. Als u deze ongewijzigd gebruikt, gelden ze als ‘passende waarborg’. De modelclausules mogen wel aangevuld worden met andere bepalingen, bijvoorbeeld door ze op te nemen in een overkoepelend contract. Deze aanvullingen mogen echter niet in tegenspraak zijn met de modelclausules; direct of indirect. Geschikt voor: kleine of middelgrote bedrijven.
    2. Bindende Bedrijfsvoorschriften: voor internationale doorgiften van persoonsgegevens binnen een groep van bedrijven kunnen interne gedragscodes opgesteld worden. Deze waarborgen de bescherming van persoonsgegevens binnen de eigen organisatie. Deze 'Binding Corporate Rules(BCRs) moeten worden goedgekeurd door de bevoegde toezichthouder. Op de korte termijn zijn de BCRs niet geschikt als passende waarborg, omdat het opstellen en de goedkeuring door de toezichthouder flink wat tijd kost. Geschikt voor: grote bedrijven of organisaties die internationaal opereren.
    3. Gedragscodes: een gedragscode binnen een branche of sector kan vastleggen op welke manier deze omgaat met persoonsgegevens. Organisaties binnen deze branche of sector kunnen zich vervolgens aansluiten bij de gedragscode. De gedragscode moet wel eerst door de Autoriteit Persoonsgegevens goedgekeurd worden. De code kan ook als instrument voor de doorgifte naar een derde land gebruikt worden, maar dan moet deze eerst aan de EDPB voorgelegd worden. Deze geeft advies en vervolgens keurt de AP de gedragscode wel of niet goed. Geschikt voor: branches of sectoren waarbinnen onderling samengewerkt wordt.
    4. Certificeringsmechanismen: met een AVG-certificaat kan een bedrijf aantonen dat ze aan bepaalde eisen voldoen volgens de regels van de AVG. De certificaten worden uitgegeven door certificatie-instellingen die daarvoor geaccrediteerd zijn door de Raad voor Accreditatie (RvA). Op dit moment zijn er echter nog geen geaccrediteerde certificatie-instellingen in Nederland.
    5. Afwijkingen: in bepaalde, uitzonderlijke, gevallen is de doorgifte van persoonsgegevens toegestaan zonder een van de bovenstaande maatregelen te nemen. De afwijkingen waar u eventueel gebruik van zou kunnen maken, zijn als volgt:

      A) wanneer de betrokkene, na uitleg over de risico’s die de doorgifte met zich mee brengt, uitdrukkelijk met de doorgifte heeft ingestemd; of:

      B) wanneer de doorgifte incidenteel en noodzakelijk is voor het uitvoeren van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of de overeenkomst wordt gesloten in het belang van de betrokkene. U kunt hier bijvoorbeeld denken aan een reisorganisator die hotels in het buitenland boekt voor zijn klanten.

      Let er wel op dat het om uitzonderingen gaat, waarvan het gebruik alleen in bepaalde gevallen is toegestaan. Geschikt voor: verwerkingsactiviteiten die incidenteel en niet repetitief zijn.

    Plan van aanpak bij een no-deal Brexit

    Hopelijk weet u na het lezen van deze blog wat uw opties zijn in het geval van een no-deal Brexit. Het is belangrijk dat u de stemming van 12 maart niet afwacht, maar nu al een inventarisatie maakt van wat er moet gebeuren. Als het Britse parlement voor een Brexit zonder uittredingsakkoord kiest, heeft u nog maar twee weken om alles te regelen (29 maart).

    Mocht er toch een terugtrekkingsovereenkomst worden aangenomen of mocht de Brexit worden uitgesteld, dan is de kans groot dat u voorlopig nog geen actie hoeft te ondernemen. Toch is het ook in die situatie goed om alvast vooruit te kijken; u kunt er immers beter te vroeg bij zijn, dan te laat!

    Brexit-vouchers

    Heeft u bedrijfsbelangen in het Verenigd Koninkrijk en advies nodig in verband met de Brexit? Dan kunt u een voucher aanvragen waarmee tot €2500,- van ons advies vergoed zou kunnen worden. Voor vragen over deze voucher, of interesse in deze dienst, bel ons voor meer informatie op telefoonnummer: 020 663 1941, of stuur ons een mail via: info@ictrecht.nl.

    Deze blog is geschreven door Cas Mevissen - juridisch adviseur bij ons internationale label Legal ICT - in samenwerking met werkstudent Demi Rietveld.

    Terug naar overzicht

    Cas Mevissen

    Cas Mevissen, oud-medewerker Legal ICT
    Lees meer
    Click me

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Juridisch advies
    Professionals inhuren
    Academy
    Legal Tech
    Security / Informatiebeveiliging
    Documenten
    Ons team
    Vacatures

     

     
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram