Naar inhoud

De Brexit heeft consequenties voor de toepassing van de AVG

De consequenties van de Brexit komen steeds dichterbij nu de overgangsperiode op 31 december 2020 afloopt. Hoe de handelsrelatie tussen de Europese Unie (EU) en het Verenigd Koninkrijk (VK) er daarna precies uitziet, is nog steeds niet volledig duidelijk. Het koninkrijk wordt in ieder geval een derde land voor de EU. Dat houdt in dat de Algemene verordening gegevensbescherming (AVG) niet langer van kracht is in Groot-Brittannië en Noord-Ierland vanaf 1 januari 2021.

Dit heeft tot gevolg dat persoonsgegevens niet langer op basis van de AVG naar het VK kunnen worden doorgegeven. De consequenties voor de omgang met data van inwoners van EU-lidstaten na de Brexit zijn door deskundigen van accountants- en adviesorganisatie PwC op een rij gezet. Ook hebben zij een stappenplan opgesteld om in het geval van een no-deal-Brexit op de juiste manier met gegevens om te gaan.

Omgang persoonsgegevens

Persoonsgegevens worden niet overal in de wereld beschermd op een niveau dat inwoners van de EU gewend zijn. Binnen de Europese Unie geldt één set aan regels, namelijk de AVG. Daarom is het geen probleem om persoonsgegevens bijvoorbeeld te – laten – verwerken in Finland of op Cyprus. Voor doorgifte naar een land buiten de EU gelden andere regels. Derde landen zijn alle landen buiten de unie met uitzondering van de landen in de Europese Economische Ruimte (EER): IJsland, Liechtenstein en Noorwegen. Doorgifte van persoonsgegevens vanuit Nederland naar een derde land mag in principe alleen als het derde land een passend beschermingsniveau biedt.

Adequaatheidsbesluit

De Europese Commissie kan een adequaatheidsbesluit nemen als een derde land in de nationale wetgeving een passend niveau van gegevensbescherming biedt. Dat houdt in dat de commissie vaststelt dat zo’n land een vergelijkbaar gegevensbeschermingsniveau biedt als de AVG. De landen met een passend beschermingsniveau vind je in een separate lijst. Aangezien het VK straks een derde land is voor de EU, kan de unie het koninkrijk met een adequaatheidsbesluit bestempelen als een veilig land. Daarmee bepaalt de EU dat een derde land een gelijkwaardig niveau van privacybescherming biedt als de EER. De kans is echter klein dat dit besluit wordt genomen vóór het einde van de overgangsperiode.

No-deal-Brexit zonder adequaatheidsbesluit

Als er geen adequaatheidsbesluit is genomen voor het einde van de overgangsperiode, heeft dat gevolgen voor organisaties. Mocht de overgangsperiode verlopen zonder dat er nadere afspraken zijn gemaakt, kunnen bedrijven en instellingen niet op basis van een adequaatheidsbesluit ervoor zorgen dat de gegevensdoorgifte naar het VK voldoet aan de AVG-regels die momenteel gelden voor derde landen. Standard contractual clauses (SCC) en binding corporate rules (BCR) kunnen dan mogelijk een uitkomst bieden om de doorgifte van persoonsgegevens mogelijk te maken.

Standard contractual clauses

De standard contractual clauses zijn in feite modelcontracten die goedgekeurd zijn door de Europese Commissie. Zij bieden de aanvullende, contractuele waarborgen voor gegevensbescherming als persoonsgegevens vanuit de EER naar een derde land worden doorgegeven. Deze clausules kunnen echter niet zomaar worden gebruikt. Sinds de ongeldigverklaring van het privacyschild is een beoordeling nodig van de privacyrisico's. Het betreft de risico’s die kunnen ontstaan wanneer overheidsinstanties van zo’n land – waarnaar de gegevens worden doorgegeven – toegang krijgen tot persoonsgegevens en hoe dergelijke risico's kunnen worden gemitigeerd.

Naar aanleiding van het resultaat van een risicoassessment kunnen aanvullende technische en organisatorische maatregelen noodzakelijk zijn. Om de privacyrisico’s te ondervangen, kan mogelijk gebruik worden gemaakt van contractuele, technische en organisatorische aanvullende maatregelen – zoals certificeringen, encrypties of garanties. Daarin is de geschiktheid beoordeeld van de maatregelen die een partij heeft genomen die gegevens importeert. Als deze maatregelen niet haalbaar blijken in het licht van het verminderen van risico’s, mag de doorgifte van persoonsgegevens niet plaatsvinden.

De European Data Protection Board heeft een richtlijn opgesteld waarin is opgenomen hoe de risico's van derde landen dienen te worden geïdentificeerd en beoordeeld. Er staat een niet-limitatieve opsomming in van aanvullende contractuele, technische en organisatorische maatregelen die deze risico's kunnen mitigeren. Daarnaast zijn er concepten voor standard contracted clauses aangeboden ter consultatie aan de Europese Commissie. De verwachting is dat er binnen afzienbare tijd nieuwe clausules gelden. Het is van belang deze ontwikkelingen goed in de gaten te houden.

Binding corporate rules

Binding corporate rules vormen het eigen beleid dat een groep ondernemingen hanteert voor de bescherming en het intern delen van persoonsgegevens. Binnen de groep worden passende waarborgen geboden voor de doorgifte van persoonsgegevens binnen en buiten de EER. Als je al gebruikmaakt van deze regels, wordt aangeraden om na te gaan of de Information Commissioner's Office (ICO) – de privacytoezichthouder in het VK – is aangewezen als leidende toezichthoudende autoriteit. Er moet dan een nieuwe leidende toezichthoudende autoriteit worden aangewezen voor de regels. Deze nieuwe leidende toezichthoudende autoriteit bekijkt – samen met de andere betrokken toezichthoudende autoriteiten – per geval of zij de meest geschikte leidende autoriteit is.

Als je nog geen gebruikmaakt van binding coroprate rules en deze wilt invoeren, moet de Autoriteit Persoonsgegevens (AP) in Nederland deze eerst goedkeuren. AP-voorzitter Aleid Wolfsen heeft echter recentelijk aangegeven dat hiervoor een wachttijd staat van vijf tot zeven jaar. Om deze reden bieden dergelijke regels geen kortetermijnoplossing, maar zijn het wel een robuuste oplossing voor de lange termijn voor multinationals die persoonsgegevens willen delen met kantoren over de hele wereld.

Stappenplan voor de Brexit in relatie tot de AVG

Jouw organisatie kan een aantal stappen nemen om zich voor te bereiden op de gevolgen van een no-deal-Brexit:

  1. Inventariseer bij welke verwerkingsactiviteiten van jouw organisatie en betrokken subverwerkers persoonsgegevens vanuit de Europese Economische Ruimte naar het Verenigd Koninkrijk worden doorgegeven.
  2. Stel vast op welke manier je door kunt gaan met de doorgifte van persoonsgegevens aan het Verenigd Koninkrijk, mogelijk met behulp van standard contractual clauses of binding corporate rules.
  3. Leg intern vast op basis waarvan de gegevens aan het Verenigd Koninkrijk worden doorgegeven.
  4. Pas jouw privacyverklaring aan om je betrokkenen te informeren.
Foto: Unsplash

Tip: Wil je weten hoe je insights en data omzet naar een strategie en concrete acties? Dan is de opleiding Customer Insight & Data Driven Marketing wat voor jou!

  • Tijdens de opleiding leer je hoe je met data en inzichten zowel de waarde voor de klanten als de waarde voor de organisatie kunt verhogen.
  • Naast de opleiding stel je een managementplan op over customer insights voor je eigen organisatie, direct geschikt voor implementatie.
Lees meer over deze opleiding ►
Bron: CustomerTalk
0

Reacties

Logo CustomerTalk

Cookie-instellingen

CustomerTalk maakt gebruik van cookies voor een optimale gebruikerservaring.

Graag vragen wij je toestemming voor het plaatsen van deze cookies.

Accepteren Meer informatie