Gepubliceerd op 15 jan 2021

Brexit en de AVG: van Tilburg via Calais naar Dover

Brexit en de AVG, twee termen die ieder voor zich al de nodige hoofdpijn veroorzaken. Laat staan samen, maar geen paniek. Onze privacyrecht advocaat Jeannot Coomans helpt jou en je persoonsgegevens van Tilburg, via Calais naar Dover. Hierbij zijn verschillende periodes en toekomstige beslissingen van belang. Het blijft dus nog een beetje koffiedik kijken. Maar sommige dingen weten we gelukkig wel al.

 

Periode 1: 1 januari 2021 tot 1 mei 2021

In de Brexitdeal van 24 december 2020 is opgenomen dat in de eerste vier maanden van 2021 de doorgifte van persoonsgegevens aan het Verenigd Koninkrijk nog mag plaatsvinden als voorheen. Dit onder de voorwaarde dat het Verenigd Koninkrijk in deze periode de regels voor de bescherming van persoonsgegevens niet veranderd. Ook is bepaald dat deze periode verlengd mag worden tot 6 maanden.  

Kortom: tot 1 mei 2021 hoef je geen aanvullende maatregelen te nemen om persoonsgegevens te delen met het Verenigd Koninkrijk. Mogelijk hoeft dit zelfs niet tot 1 juli 2021. Noteer deze twee data dus in je agenda of houd onze website in de gaten, wij houden je op de hoogte. 

Periode 2: vanaf 1 mei 2021  

Na de eerste periode geldt de overbruggingsregeling uit de Brexitdeal niet meer. Dit betekent dat we terugvallen op de regels in de AVG over het delen van persoonsgegevens met een derde land. Een derde land is, kort samengevat, een land dat niet onder de werkingssfeer van de AVG valt.  

Aangezien het Verenigd Koninkrijk geen lidstaat meer is van de Europese Unie valt het niet meer onder de werkingssfeer van de AVG en kwalificeert het dus als een derde land. Dit betekent dat je als Europese organisatie niet zomaar gegevens mag delen met het Verenigd KoninkrijkWanneer mag dit dan wel?  

Dit mag wel als de Europese Commissie een adequaatheidsbesluit heeft genomen voor het Verenigd Koninkrijk. Als een adequaatheidsbesluit wordt genomen betekent dit dat het niveau van gegevensbescherming in een derde land gelijkwaardig is aan het beschermingsniveau in de AVG. In dat geval kun je vrij gegevens uitwisselen met dat derde land.  

 

Aangezien de nieuwe privacywetgeving in het Verenigd Koninkrijk, de ‘UK GDPR’, in grote lijnen hetzelfde is als de Europese AVG is het goed voorstelbaar dat de Europese Commissie een adequaatheidsbesluit zal nemen voor het Verenigd Koninkrijk. Op het moment doorloopt het VK een adequaatheidsassessment, wat kan resulteren in een adequaatheidsbesluit.  

Maar als we één ding hebben geleerd van de Brexit is dat niets zeker is. Voorlopig is dit dus nog afwachten.  

Mocht er op 1 mei 2021 nog geen adequaatheidsbesluit zijn genomen dan mag je alleen persoonsgegevens delen met het Verenigd Koninkrijk als gebruik wordt gemaakt van: 

  • Modelcontracten die door de Europese Commissie zijn vastgesteld; 
  • Gedragscodes of certificeringsmechanismen; 
  • Bindende bedrijfsvoorschriften 
  • Een van de strikte uitzonderingsmogelijkheden voor incidentele doorgave van persoonsgegevens.  

 

Voor de gemiddelde ondernemer die met partijen in het Verenigd Koninkrijk werkt zullen de modelcontracten van de Europese Commissie de meest praktische oplossing zijn. In deze modelcontracten zijn standaardafspraken opgenomen over onderwerpen die samenhangen met de bescherming van persoonsgegevens. Denk hierbij aan zaken zoals verplichtingen van partijen, aansprakelijkheid en de rechtsmacht van de verschillende toezichthoudende autoriteiten.  

In aanvulling op de modelcontracten zul je in sommige gevallen aanvullende maatregelen moeten nemen om te garanderen dat het niveau van gegevensbescherming in het betreffende derde land gelijkwaardig is aan het beschermingsniveau in de AVG. De European Data Protection Board (EPDB) heeft hier een stappenplan voor opgesteld (klik hier).  

 

Kortom: mocht er op 1 mei 2021 een adequaatheidsbesluit zijn genomen door de Europese Commissie voor het Verenigd Koninkrijk dan mag je vrij persoonsgegevens (blijven) delen met partijen in het Verenigd Koninkrijk. Mocht er op 1 mei 2021 nog geen adequaatheidsbesluit zijn genomen dan zul je moeten kunnen terugvallen op een van de bovenstaande mogelijkheden, als je gegevens deelt met het Verenigd Koninkrijk.  

Zoals je wellicht al verwacht zal dit niet de laatste blog zijn over de AVG en de Brexit. In de komende maanden zullen nog een aantal cruciale beslissingen genomen worden over de toekomst van het privacy landschap tussen de Europese Unie en het Verenigd Koninkrijk. Voorlopig kun je in ieder geval je persoonsgegevens van Tilburg, via Calais naar Dover blijven transporteren. Mocht dit veranderen dan laten wij het je weten. 

Jeannot Coomans