Op 13 november 2018 bereikten de Europese Unie (EU) en het Verenigd Koninkrijk (VK) een akkoord over Brexit; het uittreden van het VK uit de EU. De huidige stand van zaken is als volgt: het Brits Lagerhuis ofwel het parlement heeft het terugtredingsakkoord van de regering en het EU reeds in drie stemmingen afgewezen. Dit betekent dat het uitstel van de EU tot 22 mei 2019 niet meer aan de orde is en het VK uit de EU treedt als er op 12 april 2019 geen akkoord is bereikt binnen het Britse parlement. De Rijksoverheid acht het risico van een no deal Brexit reëel en waarschuwt ondernemers om op tijd maatregelen te treffen als het gaat om hun handelsafspraken met het VK.

Deze waarschuwing moet niet alleen voor ondernemers gelden maar voor alle organisaties die persoonsgegevens (deels) in het VK (laten) verwerken. Een verwerkingsverantwoordelijke die deel uitmaakt van een concern of verwerkers in de zin van Algemene Verordening Gegevensbescherming (AVG) zijn hier voorbeelden van. In dit artikel lichten wij de gevolgen, de oplossingen en de te nemen stappen toe ten aanzien van verwerking van persoonsgegevens in het VK bij een no deal Brexit. Korte boodschap vooraf: ‘hope for the best, prepare for the worst’.

Deal or no deal?

Ongeacht het bereiken van een deal tussen het VK en de EU wordt het VK bij het uittreden uit de EU een zogenaamde “derde land” en zijn de regels die voor de EU gelden niet meer van toepassing. Het doel dat bij een deal Brexit wordt nagestreefd, is dat de EU-regels en daarmee ook de AVG juist ongewijzigd van kracht blijven. Dit zal vanwege de overgangsperiode in ieder geval tot eind 2020 het geval zijn. Dit betekent dat er tot die tijd niets verandert wat betreft de doorgifte van persoonsgegevens naar het VK.

Bij een no deal Brexit zijn de onderdelen van de AVG, die gelden voor het doorgeven van persoonsgegevens buiten de EU, aan de orde voor het VK. Een no deal Brexit zal dan ook grote gevolgen hebben voor onder andere verwerkingsverantwoordelijken in het VK die deel uitmaken van een Europees concern of verwerkingsverantwoordelijken die samenwerken met verwerkers in het VK. De gevolgen zullen dus niet alleen voor een multinational met een vestiging in de VK voelbaar zijn, maar ook voor een Britse cloud provider of een softwareleverancier.

Welke instrumenten biedt de AVG?

De AVG biedt een aantal oplossingen om doorgifte van persoonsgegevens naar een derde land alsnog mogelijk te maken bij een no deal Brexit:

  • Adequaatheidsbesluit. De Europese Commissie (EC) kan in een adequaatheidsbesluit oordelen dat het niveau van gegevensbescherming in een derde land gelijkwaardig is aan het beschermingsniveau die de EU-regels bieden waardoor de uitwisseling van persoonsgegevens met dat derde land mogelijk wordt. In het geval van een no deal Brexit zal er niet direct een adequaatheidsbesluit voor het VK klaarliggen.
  • Binding Corporate Rules (BCRs): Deze maatregel is van toepassing wanneer het gaat om doorgifte van persoonsgegevens naar een vestiging van een onderneming die zich buiten de EU bevindt. Voordat BCRs rechtsgeldig kunnen worden gebruikt, moeten zij eerst door de bevoegde nationale toezichthoudende autoriteit worden goedgekeurd nadat zij van advies van de European Data Protection Board zijn voorzien.
    • Sommige organisaties maken wellicht nog gebruik van BCRs die zijn goedgekeurd op grond van de Privacyrichtlijn uit 1995. Deze BCRs blijven geldig onder de AVG, maar vereisen actualisatie om volledig te voldoen aan de bepalingen van de AVG.
  • Gedragscodes en certificeringsmechanismen: Gedragscodes of certificeringsmechanismen kunnen passende waarborgen bieden voor de doorgifte van persoonsgegevens wanneer deze bindende- en afdwingbare toezeggingen bevatten van de organisatie in het derde land in het belang van natuurlijke personen.
  • Europese modelcontracten: De Europese Commissie heeft zogeheten modelcontracten opgesteld. Deze contracten bieden aanvullende waarborgen die nodig zijn in het geval van verstrekking van persoonsgegevens naar een derde land. Het is belangrijk om te weten dat de bepalingen in de modelcontracten (in beginsel) niet door partijen gewijzigd mogen worden. Wel mogen de contracten als bijlage bij een ander contract worden opgenomen, zolang de overige afspraken in dat contract niet direct of indirect in tegenspraak zijn met de modelcontracten.
  • Ondubbelzinnige toestemming: Last but not least, kan gebruik worden gemaakt van de ondubbelzinnige toestemming van elke betrokkene om de doorgifte buiten de EU te rechtsgeldig te realiseren. In de praktijk zal dit in veel gevallen niet werkbaar zijn. Bovendien kan eenmaal gegeven toestemming ook altijd worden ingetrokken. Deze maatregel zal daarom terughoudend moeten worden toegepast.

Welke stappen te nemen?  

Een goede voorbereiding is het halve werk, luidt het adagium. Bij een no deal Brexit geldt dit adagium onverminderd. Maar waar te beginnen en welke stappen te nemen?

1. Inventariseren
Een belangrijke eerste stap is een overzicht te creëren van de afspraken en samenwerkingen met partijen aan wie jouw organisatie persoonsgegevens verstrekt. Beschikt je organisatie reeds over een goed werkend en beheerd Contract Management Systeem of een Privacy Management Systeem? Dan is het filteren van de partijen die persoonsgegevens in VK verwerken iets eenvoudiger dan wanneer je organisatie niet over een dergelijk overzicht beschikt.

2. Overwegen om de afspraken te herzien
Komen in het overzicht partijen naar voren aan wie je organisatie persoonsgegevens verstrekt en de verwerking buiten de EU en in dit geval in VK plaatsvindt, dan is het zaak om deze afspraken te herzien. Voor contracten die binnenkort toch aflopen, kan het beëindigen van de samenwerking een eenvoudige oplossing zijn. Hebben je afspraken een lange contractduur dan is het onvermijdelijk om gesprekken met je samenwerkingspartner te voeren om hetzij de contracten tussentijds te beëindigen, hetzij de verwerkingen in de EU te laten plaatsvinden.

3. Aanwenden juiste instrumenten AVG
Wil je de samenwerking ongewijzigd behouden of heb je geen andere keus omdat de organisatie bijvoorbeeld onderdeel uitmaakt van een concern, dan is het aanwenden van een van de instrumenten uit de AVG een oplossing. Kies daarvoor het juiste instrument door na te gaan welk instrument het beste past bij de situatie. Zo kan voor een multinational met een vestiging in het VK BCRs een optie zijn en voor een verwerker een standaard modelcontract van de Europese Commissie de juiste oplossing bieden. Zorg dat het gekozen instrument op 12 april 2019 klaar is voor gebruik.

4. Nazorg en verantwoordingsplicht
Registreer intern dat persoonsgegevens worden doorgegeven aan het VK. Dit kan bijvoorbeeld in het register van gegevensactiviteiten en in de privacyverklaring. Pas de privacyverklaring aan om betrokkenen te informeren over de doorgifte naar ‘buiten de EU’ en breng deze nogmaals onder de aandacht van de betrokkenen.

Advies nodig?

Kom je niet uit met het nemen van voorbereidende stappen en/of heb je geen overzicht van de gevolgen van Brexit binnen jouw organisatie? De privacy consultants bij Cuccibu kunnen je adviseren en ondersteunen bij de voorbereiding op de gevolgen van een no deal Brexit. Mocht je willen sparren over dit onderwerp, dan nodigen wij je graag uit om contact met ons op te nemen via info@cuccibu.nl of +31 (0) 85 303 2984.