Berichten

No deal Brexit en doorgifte persoonsgegevens naar het Verenigd Koninkrijk

Geplaatst op | Bericht | romyvanravestijn

De uittreding van het Verenigd Koninkrijk uit de Europese Unie staat gepland op 29 maart 2019. Of er overeenstemming komt over het vertrek, is maar de vraag. Medio februari heeft premier May laten weten de stemming in het Britse Lagerhuis wederom uit te stellen. De mogelijkheid op een “zachte Brexit” lijkt daardoor steeds kleiner te worden en het scenario van een “no-deal Brexit” (of “harde Brexit”) komt dichterbij.

Een harde Brexit heeft onmiddellijke gevolgen voor de doorgifte van persoonsgegevens vanuit Europa naar het Verenigd Koninkrijk en vice versa. Bij een zachte Brexit zal de impact minder groot zijn. In deze blog staan we stil bij de maatregelen die genomen kunnen worden in geval van een harde Brexit.

Harde Brexit en korte termijn maatregelen

In geval van een harde Brexit zal het Verenigd Koninkrijk onder de Algemene Verordening Gegevensbescherming (AVG) worden aangeduid als een derde land buiten de Europese Unie. Dit betekent dat doorgifte enkel mogelijk is wanneer de AVG dat toelaat doordat er bijvoorbeeld aanvullende maatregelen worden getroffen op basis waarvan de persoonsgegevens ook in het derde land goed worden beschermd. Denk hierbij aan:

  • Modelcontracten vastgesteld door de Europese Commissie;
  • Bindende bedrijfsvoorschriften;
  • Gedragscodes en certificeringsmechanismen (bestaan momenteel nog niet);
  • In de AVG genoemde situaties (zoals noodzakelijk voor de uitvoering van een overeenkomst).

In de praktijk zal gauw worden gekozen voor het hanteren van modelcontracten. De modelcontracten zijn standaardbepalingen die partijen contractuele verplichtingen opleggen voor de verwerking van persoonsgegevens. Dit betekent bijvoorbeeld dat een verwerker in het Verenigd Koninkrijk zich contractueel verplicht om de persoonsgegevens adequaat te beschermen ten behoeve van een in de EU gevestigde verwerkingsverantwoordelijke.

Modelcontracten kunnen één op één worden overgenomen en ondertekend. Partijen kunnen er ook voor kiezen om de bepalingen toe te voegen aan een andere overeenkomst of in de modelcontracten toevoegingen te doen. Dit is toegestaan zolang de bepalingen niet (in)direct in strijd zijn met de modelbepalingen.

Tot slot kan er ook voor worden gekozen om de verwerkingen te herstructureren, bijvoorbeeld door de verwerking onder te brengen in een lidstaat van de Europese Unie.

Langere termijn

Op de langere termijn en in geval van een harde Brexit zal het Verenigd Koninkrijk mijn inziens proberen om een adequaatheidsbesluit van de Europese Commissie te verkrijgen. Een adequaatheidsbesluit betekent dat de Europese Commissie een derde land als “veilig” bestempeld voor wat betreft de verwerking van persoonsgegevens. In dat geval mogen persoonsgegevens zonder aanvullende maatregelen worden doorgegeven aan de landen waarvoor een adequaatheidsbesluit is afgegeven. Voorbeelden hiervan zijn Canada, Zwitserland en Japan. Voor de Verenigde Staten is het Privacy Shield verdrag in het leven geroepen op basis waarvan doorgifte kan plaatsvinden naar Privacy Shield geregistreerde ondernemingen in de VS.

Aangezien het Verenigd Koninkrijk op dit moment onderworpen is aan de AVG, is het voor de hand liggend dat het Verenigd Koninkrijk in aanmerking komt voor een adequaatheidsbesluit. Zolang er nog geen adequaatheidsbesluit is, dient doorgifte echter op basis van bovengenoemde waarborgen te geschieden.

Last minute deal

Ondanks dat een deal nu ver weg lijkt, is dat nog steeds het meest wenselijke scenario voor alle partijen. In geval van een deal zoals nu voorgesteld, zal er een overgangsperiode worden gehanteerd waarin de AVG ook in het Verenigd Koninkrijk blijft gelden en er dus op korte termijn geen maatregelen genomen hoeven te worden. Ook hier geldt voor de lange termijn dat een adequaatheidsbesluit vervolgens de waarschijnlijke route zal zijn waarop doorgifte kan plaatsvinden.

Heeft u vragen over doorgifte van persoonsgegevens? Neem dan gerust vrijblijvend contact op met Wieger Weijland (w.weijland@banning.nl / +31 73 8000 933) of één van de andere leden van de sectie Privacy.