Blog

Doorgifte van persoonsgegevens na Brexit (deel 2)

Eerder schreven wij al over de gevolgen voor de doorgifte van persoonsgegevens aan (organisaties in) het VK wanneer er sprake zou zijn van een no-deal-Brexit. Inmiddels is bekend dat er wel een deal is gesloten tussen de EU en het VK. Hieronder lichten wij toe wat er is afgesproken over de doorgifte van persoonsgegevens sinds […]

Eerder schreven wij al over de gevolgen voor de doorgifte van persoonsgegevens aan (organisaties in) het VK wanneer er sprake zou zijn van een no-deal-Brexit. Inmiddels is bekend dat er wel een deal is gesloten tussen de EU en het VK. Hieronder lichten wij toe wat er is afgesproken over de doorgifte van persoonsgegevens sinds 1 januari 2021. 

VK als derde land?

Omdat de transitieperiode op 31 december 2020 officieel is geëindigd, is het VK in de terminologie van de Algemene Verordening Gegevensbescherming (‘AVG’) vanaf 1 januari 2021 een ‘derde land’ geworden. Uitgangspunt is dat er extra waarborgen getroffen moeten worden als er persoonsgegevens aan derde landen (niet EER-landen) worden doorgezonden, tenzij een adequaatheidsbesluit door de Europese Commissie is afgegeven. Een dergelijk besluit wordt afgegeven als het betreffende land een beschermingsniveau biedt dat gelijkwaardig is aan de AVG. De Europese Commissie heeft tot op heden nog geen adequaatheidsbesluit afgegeven voor het VK.

Als onderdeel van de Brexit-deal zijn de EU en het VK overeengekomen dat de doorgifte van persoonsgegevens aan het VK niet moet worden beschouwd als een doorgifte van persoonsgegevens aan een derde land. Deze situatie duurt voort tot 1 mei 2021, tenzij de Europese Commissie al eerder een adequaatheidsbesluit heeft genomen. Als dat nog niet is gebeurd op 1 mei 2021 wordt voorgaande afspraak automatisch verlengd tot 1 juli 2021, tenzij een van beide partijen daartegen bezwaar maakt. Voorwaarde is wel dat het VK haar wet- en regelgeving met betrekking tot de bescherming van persoonsgegevens gedurende deze periode ongewijzigd laat.

Organisaties kunnen kortom in beginsel tot 1 mei 2021 persoonsgegevens met partijen in het VK blijven uitwisselen op dezelfde wijze als voor de uittreding van het VK uit de EU. Vooralsnog is het niet duidelijk hoe de situatie na die datum zal worden.

Wat te doen?

Als uw organisatie persoonsgegevens met (partijen in het) VK uitwisselt, raden wij aan om u vast voor te bereiden op het scenario dat er geen adequaatheidsbesluit wordt afgegeven. Dat zou betekenen dat de regels ten aanzien voor de doorgifte van persoonsgegevens aan derde landen zoals opgenomen in de AVG uiteindelijk ook voor doorgiftes aan het VK gaan gelden.

Wij adviseren dan ook om op gedetailleerde wijze in kaart te brengen welke persoonsgegevens u precies met welke partijen in het VK uitwisselt en welke afspraken hierover momenteel zijn gemaakt. Houd die afspraken tegen het licht en bedenk alvast of, en zo ja hoe, die afspraken eventueel gewijzigd zullen moeten worden vanaf 1 mei 2021, respectievelijk 1 juli 2021 (in geval van verlenging) om een rechtsgeldige doorgifte te kunnen garanderen.

Voor de meeste organisaties zal het sluiten van zogenaamde EU Standard Contract Clauses (‘SSCs’) overigens de meest voor de hand liggende oplossing bieden als er uiteindelijk geen adequaatheidsbesluit wordt afgegeven. De bestaande SSCs worden momenteel herzien. Op 12 november 2020 is een conceptversie van de nieuwe SSCs gepubliceerd en de consultatie is inmiddels gesloten. Hoewel naar verwachting in de eerste helft van 2021 een definitieve versie van de herziene SSCs zal verschijnen, is het niet zeker of dat ook voor 1 mei 2021, dan wel 1 juli 2021, zal zijn. Mogelijk zullen dus toch de bestaande SSCs moeten worden gesloten om te voorkomen dat er na de overgangsperiode sprake is van een niet-rechtsgeldige doorgifte van persoonsgegevens aan het VK.

Verder heeft het Schrems II-arrest van afgelopen zomer duidelijk gemaakt dat niet kan worden volstaan met het eenvoudigweg zetten van een handtekening onder de SSCs. Eerst zal een zogeheten data transfer impact assessment uitgevoerd moeten worden. Dit komt er kortgezegd op neer dat de gegevensexporteur zal moeten beoordelen of alle rechten en verplichtingen die zijn opgenomen in de SSCs daadwerkelijk door de gegevensimporteur kunnen worden nageleefd. Daarvoor dient onder meer te worden gekeken naar de Britse wet- en regelgeving die op de specifieke doorgifte van toepassing is. Bovendien dient die beoordeling zorgvuldig te worden gedocumenteerd en op verzoek aan de toezichthouder te worden overhandigd. Het is daarmee van belang om in de gaten te houden of de Britten hun wet- en regelgeving op het gebied van privacy en gegevensbescherming tussentijds gaan wijzigen.

Al deze onzekerheden maken het voor organisaties niet bepaald gemakkelijk om voorbereidingen te treffen voor een rechtsgeldige doorgifte van persoonsgegevens aan het VK na de transitieperiode.

Meer weten?

Wil u meer weten over de internationale doorgifte van persoonsgegevens? Heeft u hulp nodig bij het treffen van voorbereidingen tijdens de huidige overgangsperiode? Of heeft u andere vragen over privacy en Brexit? Neem dan contact op met een van onze specialisten.

 

Auteur

Expertises

Deel dit artikel

Meer blogs

Duurzaamheidsclaims onder de loep

Op het gebied van het gebruik van duurzaamheidsclaims bestaat er al een omvangrijk pakket aan wet- en regelgeving. Een groot deel hiervan is afkomstig uit de Europese Unie. Het pakket aan regels gaat zich de komende jaren nog verder uitbreiden, onder andere als ge­volg van de Europese Green Deal uit 2019. De Europese Green Deal […]

/LEES MEER

Duurzaamheidsclaims onder de loep

Op het gebied van het gebruik van duurzaamheidsclaims bestaat er al een omvangrijk pakket aan wet- en regelgeving. Een groot deel hiervan is afkomstig uit de Europese Unie. Het pakket aan regels gaat zich de komende jaren nog verder uitbreiden, onder andere als ge­volg van de Europese Green Deal uit 2019. De Europese Green Deal […]

EU-regelgeving maakt overstappen van Cloud- en edge leverancier makkelijker

De Europese Dataverordening maakt het overstappen tussen Cloud- en edgediensten makkelijker. In deze blog bespreken we de verplichtingen voor aanbieders van dataverwerkingsdiensten op grond van de Dataverordening, en de contractvoorwaarden die hieruit voortvloeien.

/LEES MEER

EU-regelgeving maakt overstappen van Cloud- en edge leverancier makkelijker

De Europese Dataverordening maakt het overstappen tussen Cloud- en edgediensten makkelijker. In deze blog bespreken we de verplichtingen voor aanbieders van dataverwerkingsdiensten op grond van de Dataverordening, en de contractvoorwaarden die hieruit voortvloeien.