AVG en de Brexit: hoe zit het nu precies?
AVG en de Brexit
Voor organisaties die persoonsgegevens doorgeven aan partijen in het Verenigd Koninkrijk geldt dat zij dit in geval van een harde Brexit na 29 maart 2019 niet meer mogen doen zonder hiervoor bepaalde instrumenten te gebruiken waarmee passende waarborgen worden geboden. Bij het ontbreken van een adequaatheidsbesluit voor het VK is de snelste oplossing gebruik te maken van de standaardbepalingen van de Europese Commissie. De andere instrumenten moeten eerst worden goedgekeurd door de bevoegde nationale toezichthoudende autoriteit en de vraag is of dit nog vóór de Brexit kan worden geregeld. In deze blog bespreken we de mogelijkheden om ook na een harde Brexit persoonsgegevens te blijven uitwisselen met partners in het VK.
De situatie
Als er geen overeenstemming wordt bereikt over de relatie tussen de EU en het VK, wordt het VK op 30 maart 2019 om 0.00 uur een derde land. Het gevolg daarvan is dat organisaties niet meer zomaar persoonsgegevens mogen doorgeven aan partijen in het VK. Maar wat als uw organisatie haar servers in Londen heeft staan of een vestiging heeft in Manchester? De European Data Protection Board (EDPB) heeft op 12 februari 2019 uitleg gegeven over de doorgifte van persoonsgegevens in geval van een no-deal Brexit.
Adequaatheidsbesluit
De eenvoudigste oplossing zou zijn dat de Europese Commissie een zgn. adequaatheidsbesluit vaststelt voor het VK. Het VK wordt dan op de lijst van landen geplaatst met een passend beschermingsniveau waaraan persoonsgegevens mogen worden doorgegeven. Het ligt in de lijn der verwachtingen dat voor het VK op termijn een adequaatheidsbesluit wordt vastgesteld, echter dit zal op het moment van de Brexit waarschijnlijk nog niet het geval zijn. Organisaties zullen dus op zoek moeten naar andere instrumenten die de AVG biedt.
Standaardbepalingen voor gegevensbescherming
De snelste manier om de doorgifte van persoonsgegevens naar het VK te regelen is met behulp van door de Europese Commissie goedgekeurde standaardbepalingen. Dit zijn modelcontracten die aanvullende waarborgen bieden ten aanzien van persoonsgegevens. Deze standaardbepalingen mogen niet worden aangepast. Wel kunnen ze worden opgenomen in een overeenkomst en worden aangevuld, voor zover de aanvullingen niet in tegenspraak zijn met de inhoud van de standaardbepalingen.
Ad-hoc contractbepalingen
Als partijen wijzigingen aanbrengen in de standaardbepalingen van de Europese Commissie of eigen bepalingen willen vaststellen, moeten deze eerst worden goedgekeurd door de nationale toezichthoudende autoriteit na advies van de EDPB. Het zal enige tijd duren voordat een dergelijke goedkeuring is gegeven, waardoor ook dit instrument waarschijnlijk geen uitkomst zal bieden voor organisaties die hiermee nu nog zouden moeten beginnen.
Binding Corporate Rules
Internationale organisaties of multinationals die persoonsgegevens doorgeven aan vestigingen in het VK kunnen ‘binding corporate rules’ (bindende bedrijfsvoorschriften) vaststellen. Hiermee worden passende waarborgen geboden voor de bescherming van persoonsgegevens, waardoor binnen de groep van ondernemingen doorgifte van deze gegevens kan plaatsvinden. Bindende bedrijfsvoorschriften moeten worden goedgekeurd door de toezichthoudende autoriteit, na advies van de EDPB en bieden net als de ad-hoc contractbepalingen, geen snelle oplossing.
Gedragscodes of certificeringsmechanismen
Ook gedragscodes of certificeringsmechanismen kunnen passende waarborgen bieden voor de doorgifte van persoonsgegevens. Dit zijn echter nieuwe instrumenten binnen de AVG. De EDPB werkt aan richtsnoeren om meer uitleg te geven over de voorwaarden en procedures.
Afwijkingen voor specifieke situaties
Onder bepaalde omstandigheden is doorgifte van persoonsgegevens naar een derde land ook mogelijk als er geen passende waarborgen zijn. Denk hierbij bijvoorbeeld aan uitdrukkelijke instemming van de betrokkene of aan noodzakelijkheid in verband met het sluiten of uitvoeren van een overeenkomst. Zie voor de overige afwijkingen artikel 49 AVG.
Overgangsregeling?
De ICT sector in Nederland heeft de Autoriteit Persoonsgegevens om een overgangsregeling gevraagd om bedrijven meer tijd te gunnen om zich aan te passen aan de nieuwe situatie. Vooralsnog is geen reactie van de Autoriteit Persoonsgegevens bekend…
Bron: The Privacy Factory