Waarmee kunnen wij u helpen?

    Artikel

    Privacy: Bent u klaar voor de Brexit?

    Update: 6-2-2020

    Kernpunten

    • De Algemene Verordening Gegevensbescherming (AVG) blijft gedurende de transitieperiode van toepassing op het Verenigd Koninkrijk (VK) en de ICO zal blijven functioneren als leidende toezichthouder.
    • Door Brexit wordt het VK vanuit EU perspectief een "derde land". Voor de doorgifte van persoonsgegevens betekent dit dat organisaties, indien er geen adequaatheidsbesluit voor het VK komt, waarborgen moeten implementeren zoals standaardcontractbepalingen (SCC) of  bindende bedrijfsvoorschriften (BCR). Alleen in een beperkt aantal gevallen kunnen organisaties een beroep doen op een uitzondering.
    • Organisaties doen er goed aan om te checken of zij hun privacy documentatie moeten updaten en of zij voor hun grensoverschrijdende verwerkingsactiviteiten na afloop van de transitieperiode bij een andere EU privacytoezichthouder terecht moeten.
    • Organisaties die in het VK persoonsgegevens verwerken, dienen de ICO richtlijnen te blijven volgen.

    Veel organisaties zijn voor hun dagelijkse bedrijfsactiviteiten afhankelijk van de onbelemmerde doorgifte van persoonsgegevens van en naar het VK, en hebben er baat bij dat de gegevensstromen ongehinderd kunnen worden voortgezet na Brexit. Momenteel gelden er, zolang het VK nog deel uitmaakt van de EU/EER, geen beperkingen voor de uitwisseling van persoonsgegevens tussen de EU/EER en het VK. Ook tijdens de transitieperiode (dat wil zeggen tot 31 december 2020, tenzij die periode wordt verlengd) kunnen persoonsgegevens vrijelijk worden doorgegeven.

    Privacy acties 

    Met het oog op Brexit dienen organisaties diverse privacy acties te ondernemen, daaronder begrepen:

    • Privacy documentatie: Organisaties zullen moeten checken of zij hun privacy documentatie en overeenkomsten moeten updaten, indien daarin verwijzingen staan naar de EU/EER, relevante privacy regelgeving en daarmee gerelateerde terminologie.
    • Doorgifte van persoonsgegevens: Organisaties dienen alle doorgiften van persoonsgegevens tussen de EU/EER en het VK (en vice versa) in kaart te brengen.
    • Melding datalekken: Indien zich een grensoverschrijdend datalek voordoet in zowel de EU/EER als het VK voordoet, moet de verwerkingsverantwoordelijke dit grensoverschrijdende datalek melden aan zowel de relevante privacy toezichthouders in de EU als in het VK. Dit kan ertoe leiden dat zowel de EU privacy toezichthouders als de ICO boetes kunnen opleggen.
    • Eén-loket principe: Organisaties die de ICO als hun leidende toezichthouder hebben aangewezen voor grensoverschrijdende verwerkingsactiviteiten onder de AVG dienen een andere EU privacytoezichtouder aan te wijzen.

    Adequaatheidsbesluit

    Vanuit privacy perspectief zal de EU de transitieperiode voornamelijk gebruiken om te beoordelen of de gegevensbeschermingspraktijken van het VK in essentie equivalent zijn aan die van de EU en ernaar streven om te komen tot een "adequaatheidsbesluit" voor het VK, zodat ook na de transitieperiode de vrije doorgifte van persoonsgegevens gewaarborgd is. Relevant hierbij is dat het VK de AVG heeft geïmplementeerd, maar toch staat daarmee de uitkomst van de beoordeling van het adequaatheidsbesluit niet zonder meer vast.  De EU zal alle aspecten van de privacy regelgeving en praktijk in het VK in acht moeten nemen, daaronder begrepen de toegang die overheidsinstanties, zoals inlichtingendiensten, hebben tot persoonsgegevens. Intussen zal het VK de AVG moeten integreren in het Britse recht.

    Derde land

    Indien het voor het einde van de transitieperiode niet lukt om te komen tot een adequaatheidsbesluit voor het VK, is het VK een derde land vanuit EU perspectief. In dat geval zullen organisaties die persoonsgegevens willen (blijven) uitwisselen met het VK extra waarborgen moeten nemen voor de doorgifte van persoonsgegevens. De AVG voorziet in een tweetal oplossingen ter legitimering van doorgiften van persoonsgegevens: de toepassing van standaardcontractbepalingen (SCC) of bindende bedrijfsvoorschriften (BCR). Alleen in een beperkt aantal situaties kan een beroep worden gedaan op een uitzondering.

    Doorgifte instrumenten

    Bindende bedrijfsvoorschriften (BCR) kunnen worden toegepast door organisaties in de EU voor het doorgeven persoonsgegevens naar landen buiten de EU binnen het concern. Voor de uitwisseling van persoonsgegevens buiten het concern is het gebruik van standaardcontractbepalingen (SCC) vereist. De standaardcontractbepalingen zijn opgesteld en goedgekeurd door de Europese Commissie en dienen onderdeel te worden gemaakt van te sluiten gegevensverwerkingsovereenkomsten. Daarbij is belangrijk om te weten dat de standaardcontractbepalingen momenteel worden beoordeeld in een zaak die in behandeling is bij het Europese Hof van Justitie.

    Hoewel de goedkeuring van een adequaatheidsbesluit voor de doorgifte van persoonsgegevens tussen het VK en de EU het meest voorziene scenario is, kan een Brexit zonder adequaatheidsbesluit niet worden uitgesloten. Om de onbelemmerde doorgifte van persoonsgegevens van de EER naar het VK te verzekeren, raden wij organisaties daarom aan ook een strategie voor te bereiden voor een Brexit-scenario zonder tijdige goedkeuring van een adequaatheidsbesluit.

    Zie ook de artikelen over de impact van Brexit in andere praktijkgebieden. Voor een meer gedetailleerde analyse van de impact van Brexit op uw bedrijf, aarzel niet om contact op te nemen met een van onze experts.

    Meer over