No-deal Brexit: gevolgen voor AVG en persoonsgegevens

Leestijd: 5 minuten

No-deal Brexit

De Brexit – oftewel het uittreden van het Verenigd Koninkrijk (VK) uit de Europese Unie (EU) – staat op het moment van schrijven gepland op 31 oktober 2019. Momenteel koerst het VK onder de bezielende leiding van prime minister Boris Johnson naar alle verwachtingen af op een ‘harde Brexit’ of ‘no-deal Brexit’. Een ‘no-deal Brexit’ houdt in dat het VK plotsklaps geen onderdeel meer uitmaakt van de interne markt van de EU en ook niet meer van de douane-unie. Grenzen tussen het VK en de EU zullen daardoor verharden ten aanzien van onder andere migratie en handel. Het vrije verkeer van goederen en diensten, zoals dat geldt in de EU, gaat niet meer op voor verkeer van en naar het VK.

Hoewel er nog steeds grote verdeeldheid heerst onder de Britten, zetten zij zich ook schrap voor een harde breuk met de EU. De inhoud van hun boodschappenmandje en de internationale handel komen onder druk te staan. In een eerder blog werden de gevolgen voor Europese merken en modellen onder de loep genomen. Verder heeft de Brexit ook effect op de internationale verwerking van persoonsgegevens en de toepasselijkheid van de AVG (of in het Engels: GDPR). Dit onderwerp staat in deze bijdrage centraal.

AVG (of GDPR) en doorgifte van persoonsgegevens

Als onderdeel van de EU valt het VK gewoon onder de paraplu van de AVG (of GDPR). Partijen binnen de EU worden aan dezelfde strenge regels onderworpen ten aanzien van persoonsgegevens. De AVG biedt wettelijk vele waarborgen waaraan datastromen van persoonsgegevens moeten voldoen. Met inachtneming van de AVG kunnen deze datastromen vrijelijk tussen de lidstaten van de EU plaatsvinden.

Een no-deal Brexit zou betekenen dat het VK op 31 oktober 2019 van een lidstaat verandert in een ‘derde land’ (van buiten de EU). Verwerkingen van persoonsgegevens in het VK mogen dan plotseling niet zonder meer plaatsvinden volgens de AVG. Doorgifte van persoonsgegevens aan partijen in het VK moet volgens de AVG plaatsvinden met één van de volgende instrumenten:

1. standaard- of ad-hocbepalingen inzake gegevensbescherming (artikel 46 AVG);
2. bindende bedrijfsvoorschriften (artikel 47 AVG);
3. gedragscodes en certificering (artikel 40 t/m 43 AVG); of
4. bij geval van uitzondering (artikel 49 AVG; maar dit zal niet vaak aan de orde zijn).

Adequaatheidsbesluit

Bovengenoemde instrumenten zijn alleen nodig wanneer de Europese Commissie nog geen ‘adequaatheidsbesluit’ heeft genomen over het VK (artikel 45 AVG). Met zo’n besluit kan de Europese Commissie een bepaald land als ‘voldoende veilig’ bestempelen voor de verwerking van persoonsgegevens. Voorbeelden van dergelijke landen zijn Canada, Zwitserland en recentelijk nog Japan. Met de Verenigde Staten is de doorgifte van data geregeld via het EU-US Privacy Shield.

Het ligt voor de hand dat het VK zal proberen een dergelijk adequaatheidsbesluit te verwerven, maar daarvoor zal het VK eerst zichzelf aan AVG gelijkwaardige regels moeten binden. Tot die tijd mogen doorgiften aan het VK enkel via de hiervoor genoemde instrumenten plaatsvinden. Zo laat ook de Britse privacytoezichthouder ‘ICO’ weten op haar website.

De 5 stappen van de EDPB

Sinds de invoering van de AVG is de ‘Article 29 Working Party’ overgegaan in de European Data Protection Board (EDPB). Dit is de verzameling van nationale Europese privacytoezichthouders. De EDPB heeft meer duidelijkheid gegeven over de correcte naleving van de privacyregels bij de Brexit. Indien uw organisatie persoonsgegevens aan het VK doorgeeft, dient u volgens de EDPB de volgende vijf stappen te nemen:

1. Inventariseer bij welke verwerkingsactiviteiten persoonsgegevens naar het VK stromen. Dit zou u moeten kunnen herleiden uit uw privacy-administratie.
2. Stel vast welk instrument voor gegevensdoorgifte passend is voor uw geval.
3. Implementeer het gekozen instrument vóór de (no-deal) Brexit.
4. Werk uw privacy-administratie bij op de nieuwe situatie.
5. Pas uw eventuele privacyverklaring aan op de nieuwe situatie.

Uiteraard houden de specialisten van NORD zich aanbevolen om uw Britse gegevensstromen te laten voldoen aan de AVG. Maar ook voor andere gerelateerde vraagstukken of een privacy-administratie kunt u altijd vrijblijvend contact met ons opnemen.