Op 22 oktober 2019 heeft het Britse parlement opnieuw geen instemming kunnen bereiken omtrent de Brexit. Inmiddels is de Europese Unie (EU) akkoord gegaan met het gevraagde uitstel van de Britse regering om de datum voor de Brexit uit te stellen tot 31 januari 2020 (of zoveel eerder als het Britse parlement en het Europese parlement het terugtrekkingsakkoord hebben goedgekeurd). Er kan nog steeds een harde Brexit plaatsvinden op 31 januari 2020, waardoor het Verenigd Koninkrijk binnen de EU als een derde land bestempeld zal worden, indien het Brexit-akkoord niet wordt goedgekeurd door alle partijen. Dit brengt consequenties met zich mee voor organisaties. Ook met betrekking tot gegevensbescherming zal het een en ander veranderen. Hieronder volgen daarom een aantal belangrijke (mogelijke) gevolgen op het gebied van gegevensbescherming die organisaties in het achterhoofd dienen te houden.
“De Algemene verordening gegevensbescherming” (AVG), die op 25 mei 2018 in werking is getreden, is rechtstreeks van toepassing in alle lidstaten van de EU. In het licht van de Brexit wil het Verenigd Koninkrijk de AVG echter ook in nationale wetgeving (met de noodzakelijke wijzigingen) omzetten. daarmee na de Brexit hetzelfde wettelijk kader van toepassing blijft in het Verenigd Koninkrijk, zal het wel een ‘derde’ land worden. Als gevolg daarvan zullen alle doorgiften van persoonsgegevens naar het Verenigd Koninkrijk onderworpen zijn aan aanvullende vereisten en mag er niet langer vrije doorgifte van persoonsgegevens plaatsvinden. De AVG biedt een aantal mogelijkheden om een doorgifte naar een derde land toch plaats te laten vinden, zo kunnen er bijvoorbeeld EU-modelclausules worden gesloten tussen de verzender (in de EU) en de ontvanger (in het Verenigd Koninkrijk).
Een mogelijkheid om de doorgifte naar een derde land mogelijk te maken, is als de Europese Commissie een zogenaamd adequaatheidsbesluit neemt, waarmee vaststaat dat het beschermingsniveau in het derde land equivalent aan dat van de AVG is. Er wordt gespeculeerd dat de Europese Commissie (op korte termijn) na de Brexit een adequaatheidsbesluit voor het Verenigd Koninkrijk zal nemen om vrij verkeer van persoonsgegevens mogelijk te maken. Theoretisch gezien zou het aannemen van een dergelijk besluit kunnen worden beschouwd als een eenvoudige formaliteit, gezien de wijze waarop de AVG in de lokale wetgeving van het Verenigd Koninkrijk ten uitvoer is en zal worden gelegd. De Europese Commissie heeft echter bewezen dat het in de praktijk een langdurige procedure kan zijn om een adequaatheidsbesluit vast te stellen, ook al staan er geen duidelijke obstakels in de weg. Vergelijkbaar hiermee is het adequaatheidsbesluit wat voor Japan werd uitgegeven. De eerste mededeling hiertoe werd aangekondigd in januari 2017 terwijl het daadwerkelijke besluit pas in maart 2019 volgde.
Voor doorgifte van persoonsgegevens specifiek in een intragroep verhouding geldt dat internationale gegevensuitwisseling ook plaatsvinden basis van ‘Binding Corporate Rules’ (BCR’s) die zijn goedgekeurd een toezichthoudende autoriteit. Indien een bedrijf echter gebruikt maakt van BCR’s die door de Britse gegevensbeschermingsautoriteit Information Commissioner's Office (ICO) zijn goedgekeurd, zullen zij moeten nagaan of ICO in dat geval de leidende autoriteit was. Hoewel ICO een verklaring heeft afgegeven dat de door haar goedgekeurde BCR’s ook na Brexit geldig zullen blijven, zal deze verklaring alleen van kracht zijn in het Verenigd Koninkrijk (waar het ICO bevoegd is). Het is onzeker of dergelijke BCR’s ook in de EU geldig zullen blijven, omdat de ICO na de Brexit niet langer een bevoegde toezichthoudende autoriteit in de zin van de AVG zal zijn.
Zo zal ICO niet langer deelnemen aan het Europees Comité voor gegevensbescherming (EDPB) en zal zij niet langer inspraak hebben in de vergaderingen of de agenda van het EDPB. Hoewel ICO heeft aangegeven dat wel te willen bestaat hierover op dit moment nog geen uitsluitsel. Om die reden moeten dergelijke BCR’s in het geval van een harde Brexit (naar het er nu uitziet) door een andere relevante toezichthoudende autoriteit (opnieuw) worden goedgekeurd om een adequate gegevensoverdracht vanuit de EU naar derde landen te waarborgen. In Nederland is de gemiddelde doorlooptijd van het keuren van BCR’s momenteel één kalenderjaar. Organisaties moeten in dat kader dus ook rekeninghouden met het invoeren van (tijdelijke) alternatieven voor dergelijke doorgiften.
Daarnaast kunnen Britse ondernemingen die zaken doen in de EU en eventueel vice versa, verplicht worden een lokale vertegenwoordiger aan te wijzen. Dit betekent dat na de Brexit, een Brits bedrijf dat goederen of diensten aanbiedt aan betrokkenen in de EU, of dat het gedrag van betrokkenen in de EU monitort, een vertegenwoordiger in de EU zal moeten aanstellen op grond van de AVG. Als de AVG in het Verenigd Koninkrijk is geïmplementeerd bij wet, kunnen EU-bedrijven die dezelfde activiteiten uitvoeren in het Verenigd Koninkrijk, eveneens verplicht worden om daar een vertegenwoordiger aan te wijzen.
In het licht van bovenstaande zouden bedrijven er goed aan doen om na te gaan of hun verwerkingsactiviteiten risico's lopen na een harde Brexit en waar nodig maatregelen te treffen. U kunt de website van de ICO raadplegen om gebruik te maken van relevante guidelines omtrent gegevensbescherming na de Brexit. De Europese privacytoezichthouders (verzameld in de European Data Protection Board, EDPB), hebben ook een guidance document opgesteld om meer duidelijkheid te geven omtrent de mogelijke gevolgen bij een no deal- Brexit. De Autoriteit Persoonsgegevens besteed hier ook aandacht aan heeft bijvoorbeeld de EDPB richtsnoeren in het Nederlands gepubliceerd. Deze publicaties kunt u hier vinden
Dit artikel is ook te vinden in het dossier AVG
Meer artikelen van Loyens & Loeff
