Afgelopen week maakten de Europese Unie (EU) en het Verenigd Koninkrijk (VK) bekend dat ze afspraken hebben gemaakt over het vertrekt van het VK uit de Unie. In de media lezen we voornamelijk verhalen over de economische verhoudingen en de gevolgen voor de Europese visserij. In de Brexit-deal zijn echter ook afspraken gemaakt over de uitwisseling van persoonsgegevens tussen de EU en het VK. Hieronder vertellen we hoe vanaf 1 januari 2021 gegevens tussen Europeanen en Britten worden overgedragen.
Vorige week waren alle ogen gericht op Ursula von der Leyen, de voorzitter van de Europese Commissie, en Boris Johnson, de premier van het Verenigd Koninkrijk. Zij hadden tot uiterlijk 31 december de tijd om een deal te sluiten over het vertrek van VK uit de EU. Maandenlang zaten onderhandelaars om tafel om afspraken te maken over economische betrekking en de uitwisseling van goederen, diensten en personen. Lange tijd leek het erop dat ze niet tot gezamenlijke afspraken zouden komen, resulterende in een no-deal Brexit. Maar op de valreep wisten beide partijen toch tot een overeenkomst te komen.
Voor de meesten waren de Brexit-onderhandelingen voornamelijk een economisch verhaal. De Brexit heeft echter ook gevolgen voor alle organisaties in de EU die persoonsgegevens doorgeven aan bedrijven in het Verenigd Koninkrijk. Daar hoor je echter bijna niemand over. Om meer duidelijkheid te geven, heeft de Autoriteit Persoonsgegevens de belangrijkste wijzigingen op een rij gezet. Daarvoor heeft de toezichthouder een speciale Brexit-pagina opgesteld.
In de Brexit-deal die vlak voor Kerst is gesloten, staat dat er in de eerste vier maanden na de inwerkingtreding van de overeenkomst niets verandert aan de uitwisseling van persoonsgegevens. Met andere woorden, tot en met april is het business as usual en verandert er niets voor ondernemers die gegevens overdragen van Europese burgers en Britten.
Dit geldt alleen als de Britten in de tussentijd de regels voor de bescherming van persoonsgegevens niet wijzigen. In dat geval gelden de nieuwe regels zowel voor Britse als Europese bedrijven. Mochten de Britten geen nieuwe regels introduceren, dan blijven de huidige regels van kracht. De overgangsperiode van vier maanden kan eventueel verlengd worden tot zes maanden, maar daar is zowel vanuit de EU als het Verenigd Koninkrijk instemming voor vereist.
Na maximaal zes maanden komt er definitief een einde aan het huidige beleid van de uitwisseling van persoonsgegevens tussen de EU en het VK. Hoe persoonsgegevens dan worden overgeheveld, is een vraag waar niemand nu een antwoord op kan geven. Volgens de Autoriteit Persoonsgegevens is dat afhankelijk van de Europese Commissie. Zij moet voor eind juni een adequaatheidsbesluit nemen. Daarin oordeelt het dagelijkse bestuur van de EU of het beschermingsniveau van het VK passend is of niet. Is het oordeel positief, dan mogen organisaties persoonsgegevens naar de Britten blijven uitwisselen.
Neemt de Europese Commissie voor eind juni geen adequaatheidsbesluit, of heeft ze hier meer tijd voor nodig, dan wordt de uitgifte van persoonsgegevens naar het VK gezien als een doorgifte naar een land buiten de EU. In dat geval treedt de Algemene verordening gegevensbescherming (AVG) in werking. Dan geldt de hoofdregel dat persoonsgegevens alleen uitgewisseld mogen worden als het land in kwestie een passend beschermingsniveau biedt.
Nu het Europees Hof van Justitie een streep door het Privacy Shield heeft gezet en beleidsmakers waarschijnlijk nog maanden nodig hebben om een opvolger te formuleren,(2) moeten organisaties met modelcontracten werken om persoonsgegevens te mogen uitwisselen. De AVG biedt nog twee andere constructies om een passend beschermingsniveau te bieden: gedragscodes en een certificeringsmechanisme. Deze regelingen, geregeld in artikel 46 lid 2 (e) en (f), moeten echter gepaard gaan met bindende en afdwingbare toezeggingen van de partij in het derde land om de juiste waarborgen toe te passen.
In artikel 49 AVG is tot slot een mogelijkheid opgenomen om incidenteel persoonsgegevens uit te wisselen tussen de EU en derde landen. Dit mag echter alleen bij hoge uitzondering en onder strikte voorwaarden.
De regering van Boris Johnson heeft aangegeven dat het ook na de Brexit mogelijk blijft om persoonsgegevens vanuit het Verenigd Koninkrijk naar EU-lidstaten te sturen. Dat betekent dat Britse bedrijven zonder problemen gegevens mogen uitwisselen met Europese organisaties. Deze uitspraak heeft echter betrekking op de overgangsperiode die vanaf 1 januari 2021 geldt. En die houdt, zoals gezegd, maximaal een half jaar stand, tenzij de Britten met nieuwe regels op de proppen komen voor de bescherming van privacy. De Autoriteit Persoonsgegevens adviseert op dit punt om de website van de Information Commissioner’s Office (ICO), de Britse toezichthouder, in de gaten te houden.
