Blog

Doorgifte van persoonsgegevens na Brexit (deel 2)

Eerder schreven wij al over de gevolgen voor de doorgifte van persoonsgegevens aan (organisaties in) het VK wanneer er sprake zou zijn van een no-deal-Brexit. Inmiddels is bekend dat er wel een deal is gesloten tussen de EU en het VK. Hieronder lichten wij toe wat er is afgesproken over de doorgifte van persoonsgegevens sinds […]

Eerder schreven wij al over de gevolgen voor de doorgifte van persoonsgegevens aan (organisaties in) het VK wanneer er sprake zou zijn van een no-deal-Brexit. Inmiddels is bekend dat er wel een deal is gesloten tussen de EU en het VK. Hieronder lichten wij toe wat er is afgesproken over de doorgifte van persoonsgegevens sinds 1 januari 2021. 

VK als derde land?

Omdat de transitieperiode op 31 december 2020 officieel is geëindigd, is het VK in de terminologie van de Algemene Verordening Gegevensbescherming (‘AVG’) vanaf 1 januari 2021 een ‘derde land’ geworden. Uitgangspunt is dat er extra waarborgen getroffen moeten worden als er persoonsgegevens aan derde landen (niet EER-landen) worden doorgezonden, tenzij een adequaatheidsbesluit door de Europese Commissie is afgegeven. Een dergelijk besluit wordt afgegeven als het betreffende land een beschermingsniveau biedt dat gelijkwaardig is aan de AVG. De Europese Commissie heeft tot op heden nog geen adequaatheidsbesluit afgegeven voor het VK.

Als onderdeel van de Brexit-deal zijn de EU en het VK overeengekomen dat de doorgifte van persoonsgegevens aan het VK niet moet worden beschouwd als een doorgifte van persoonsgegevens aan een derde land. Deze situatie duurt voort tot 1 mei 2021, tenzij de Europese Commissie al eerder een adequaatheidsbesluit heeft genomen. Als dat nog niet is gebeurd op 1 mei 2021 wordt voorgaande afspraak automatisch verlengd tot 1 juli 2021, tenzij een van beide partijen daartegen bezwaar maakt. Voorwaarde is wel dat het VK haar wet- en regelgeving met betrekking tot de bescherming van persoonsgegevens gedurende deze periode ongewijzigd laat.

Organisaties kunnen kortom in beginsel tot 1 mei 2021 persoonsgegevens met partijen in het VK blijven uitwisselen op dezelfde wijze als voor de uittreding van het VK uit de EU. Vooralsnog is het niet duidelijk hoe de situatie na die datum zal worden.

Wat te doen?

Als uw organisatie persoonsgegevens met (partijen in het) VK uitwisselt, raden wij aan om u vast voor te bereiden op het scenario dat er geen adequaatheidsbesluit wordt afgegeven. Dat zou betekenen dat de regels ten aanzien voor de doorgifte van persoonsgegevens aan derde landen zoals opgenomen in de AVG uiteindelijk ook voor doorgiftes aan het VK gaan gelden.

Wij adviseren dan ook om op gedetailleerde wijze in kaart te brengen welke persoonsgegevens u precies met welke partijen in het VK uitwisselt en welke afspraken hierover momenteel zijn gemaakt. Houd die afspraken tegen het licht en bedenk alvast of, en zo ja hoe, die afspraken eventueel gewijzigd zullen moeten worden vanaf 1 mei 2021, respectievelijk 1 juli 2021 (in geval van verlenging) om een rechtsgeldige doorgifte te kunnen garanderen.

Voor de meeste organisaties zal het sluiten van zogenaamde EU Standard Contract Clauses (‘SSCs’) overigens de meest voor de hand liggende oplossing bieden als er uiteindelijk geen adequaatheidsbesluit wordt afgegeven. De bestaande SSCs worden momenteel herzien. Op 12 november 2020 is een conceptversie van de nieuwe SSCs gepubliceerd en de consultatie is inmiddels gesloten. Hoewel naar verwachting in de eerste helft van 2021 een definitieve versie van de herziene SSCs zal verschijnen, is het niet zeker of dat ook voor 1 mei 2021, dan wel 1 juli 2021, zal zijn. Mogelijk zullen dus toch de bestaande SSCs moeten worden gesloten om te voorkomen dat er na de overgangsperiode sprake is van een niet-rechtsgeldige doorgifte van persoonsgegevens aan het VK.

Verder heeft het Schrems II-arrest van afgelopen zomer duidelijk gemaakt dat niet kan worden volstaan met het eenvoudigweg zetten van een handtekening onder de SSCs. Eerst zal een zogeheten data transfer impact assessment uitgevoerd moeten worden. Dit komt er kortgezegd op neer dat de gegevensexporteur zal moeten beoordelen of alle rechten en verplichtingen die zijn opgenomen in de SSCs daadwerkelijk door de gegevensimporteur kunnen worden nageleefd. Daarvoor dient onder meer te worden gekeken naar de Britse wet- en regelgeving die op de specifieke doorgifte van toepassing is. Bovendien dient die beoordeling zorgvuldig te worden gedocumenteerd en op verzoek aan de toezichthouder te worden overhandigd. Het is daarmee van belang om in de gaten te houden of de Britten hun wet- en regelgeving op het gebied van privacy en gegevensbescherming tussentijds gaan wijzigen.

Al deze onzekerheden maken het voor organisaties niet bepaald gemakkelijk om voorbereidingen te treffen voor een rechtsgeldige doorgifte van persoonsgegevens aan het VK na de transitieperiode.

Meer weten?

Wil u meer weten over de internationale doorgifte van persoonsgegevens? Heeft u hulp nodig bij het treffen van voorbereidingen tijdens de huidige overgangsperiode? Of heeft u andere vragen over privacy en Brexit? Neem dan contact op met een van onze specialisten.

 

Auteur

Expertises

Deel dit artikel

Meer blogs

Webinar commerciële/IE-contracten 2024

Op 6 november 2024 presenteerden Ernst-Jan Louwers en Nathalie van der Zande een live webinar over commerciële/IE-contracten voor de Academie voor de Rechtspraktijk. In dit webinar, dat bestaat uit twee blokken van een uur, deelden zij praktische inzichten en bespraken zij actuele kwesties binnen dit vakgebied. Het webinar is on demand terug te kijken.

/LEES MEER

Webinar commerciële/IE-contracten 2024

Op 6 november 2024 presenteerden Ernst-Jan Louwers en Nathalie van der Zande een live webinar over commerciële/IE-contracten voor de Academie voor de Rechtspraktijk. In dit webinar, dat bestaat uit twee blokken van een uur, deelden zij praktische inzichten en bespraken zij actuele kwesties binnen dit vakgebied. Het webinar is on demand terug te kijken.

AVG, gerechtvaardigd belang

AVG en gerechtvaardigd belang: wat de KNLTB-zaak betekent voor uw organisatie

Recent verduidelijkte het Hof dat commerciële belangen onder voorwaarden kunnen gelden als gerechtvaardigd belang voor gegevensverwerking onder de AVG. In deze blog bespreken we de uitspraak en geven we een 5-stappenplan voor het verwerken van persoonsgegevens op grond van gerechtvaardigde belangen.

/LEES MEER

AVG, gerechtvaardigd belang

AVG en gerechtvaardigd belang: wat de KNLTB-zaak betekent voor uw organisatie

Recent verduidelijkte het Hof dat commerciële belangen onder voorwaarden kunnen gelden als gerechtvaardigd belang voor gegevensverwerking onder de AVG. In deze blog bespreken we de uitspraak en geven we een 5-stappenplan voor het verwerken van persoonsgegevens op grond van gerechtvaardigde belangen.

Kyara van Roessel versterkt Louwers IP&Tech Advocaten

Per 1 augustus 2024 heeft Kyara van Roessel zich aangesloten bij Louwers IP&Tech Advocaten. Kyara zal de groeiende merken- en modellenregistratiepraktijk binnen Louwers IP&Tech Advocaten ondersteunen.

/LEES MEER

Kyara van Roessel versterkt Louwers IP&Tech Advocaten

Per 1 augustus 2024 heeft Kyara van Roessel zich aangesloten bij Louwers IP&Tech Advocaten. Kyara zal de groeiende merken- en modellenregistratiepraktijk binnen Louwers IP&Tech Advocaten ondersteunen.