Vijf manieren om je gegevens te beschermen na een harde Brexit

September 23, 2019

Hoewel iedereen hoopt dat er op het laatste moment nog een deal komt tussen het Verenigd Koninkrijk en de Europese Unie, wordt die kans met de dag kleiner. Zelfs als de EU nog een keer uitstel verleent, is het nu de hoogste tijd om maatregelen te nemen om ervoor te zorgen dat je gegevens beschermd blijven als ze in het Verenigd Koninkrijk worden verwerkt of opgeslagen. Deze blog beschrijft vijf manieren om aan de AVG te blijven voldoen.

Gevolg harde Brexit: Verenigd Koninkrijk vergelijkbaar met Rusland en Nigeria

Hoewel toezichthouder ICO uitlegt dat het VK bij een harde Brexit wel van plan is om een eigen versie van de GDPR op te nemen in het Britse recht, zijn er geen garanties dat het VK daarmee voldoet aan het hoge Europese beschermingsniveau. De gezaghebbende privacy professor Douwe Korff legt in een recente paper uit dat het VK na een harde Brexit de status krijgt van inadequaat derde land, net als bijvoorbeeld Nigeria en Rusland. Het land komt dan onderaan de lijst van landen die graag een stempel van goedkeuring willen van de Europese Commissie, zoals Mexico, Zuid Korea en India. De procedure voor een adequaatheidsbesluit zou volgens wijlen Giovanni Buttarelli, de bevlogen voorzitter van de EDPS, jaren kunnen gaan duren, ook omdat de Commissie dan de bevoegdheden van de Britse opsporingsdiensten moet beoordelen, en de waarborgen voor betrokkenen.

Het is dus geen goed idee om te wachten op een adequaatheidsbesluit. Wanneer je toch gegevens wilt of moet doorgeven naar het VK zijn er vijf opties om te voldoen aan de AVG. Je kunt gebruik maken van één van drie soorten overeenkomsten, een beroep doen op één van de specifieke uitzonderingen in de AVG, of je kunt de doorgifte van persoonsgegevens naar het VK tijdelijk stopzetten.

Doorgifte via overeenkomst of uitzonderingen

Ongeacht of je verantwoordelijke bent of verwerker, mag je de persoonsgegevens na een harde Brexit alleen nog doorgeven naar het VK als je passende waarborgen treft die voldoen aan de voorwaarden uit de AVG. Je mag doorgaan met doorgifte van persoonsgegevens naar het VK als je een specifieke overeenkomst sluit (artikel 46 van de AVG), of als je een beroep kunt doen op één van de uitzonderingen (artikel 49 van de AVG). Het achterliggende doel van die waarborgen is dat betrokkenen beschikken over afdwingbare rechten en doeltreffende rechtsmiddelen. Er zijn vier realistische mogelijkheden, namelijk:

  1. een door de Europese Commissie goedgekeurde modelovereenkomst (Standard Contractual Clauses)
  2. een door de toezichthouder goed te keuren eigen overeenkomst
  3. door de toezichthouder goed te keuren eigen spelregels binnen een multinational (Binding Corporate Rules)
  4. een beroep op één van de uitzonderingen voor specifieke situaties, zoals toestemming van betrokkenen of noodzaak voor de uitvoering van een overeenkomst

Andere uitzonderingen op het doorgifteverbod naar derde landen zijn goedgekeurde gedragscodes of certificeringen, maar aangezien die nog niet bestaan, is dat alleen een theoretische mogelijkheid. De AVG biedt ook nog extra mogelijkheden voor doorgifte tussen overheidsinstanties, zoals een internationaal verdrag of goedgekeurde specifieke afspraken, maar ook dat zijn tot nu toe vooral theoretische opties.

Wachttijd BCR bij Autoriteit Persoonsgegevens 3 tot 5 jaar

De dag voor Prinsjesdag heeft de minister van rechtsbescherming in een brief aan de Tweede Kamer bekend gemaakt dat de wachttijd bij de Autoriteit Persoonsgegevens (AP) voor het behandelen van BCR’s is opgelopen naar 3 tot 5 jaar en dat er een toename van de aanvragen wordt verwacht na een harde Brexit. Het is niet aannemelijk dat de AP zelf opgestelde overeenkomsten wel heel snel kan beoordelen. Nog erger: Douwe Korff legt uit dat de BCR’s die door de ICO zijn goedgekeurd, niet meer geldig zijn na een harde Brexit. Dat zijn er volgens de website van de ICO 33. Korff schrijft: “After a “No-Deal Brexit”, UK (ICO)-approved Codes of Conduct and Binding Corporate Rules (BCRs) will no longer be recognised in the EU/EEA, and nor will any future UK (ICO)-approved certification mechanisms.”

Modelovereenkomst beste keuze

Vanwege de lange wachttijd bij de toezichthouder(s), is het sluiten van een modelovereenkomst met een andere verantwoordelijke, verwerker of subverwerker in het VK op dit moment de beste optie. Let er dan wel op dat je als verantwoordelijke zelf controle hebt over de doelen waarvoor de verwerker je gegevens mag verwerken, dat de organisatie in de VK géén gegevens doorgeeft naar landen zonder adequaat beschermingsniveau en dat je het recht hebt om de rechtmatigheid van de afgesproken verwerkingen te controleren via audits.

Toestemming intrekken voor verwerking in het VK

Een vijfde mogelijkheid om aan de AVG te blijven voldoen na een harde Brexit is door tijdelijk géén persoonsgegevens meer in het VK te laten verwerken. Veel grote cloudproviders bieden je de mogelijkheid om je gegevens alleen in Europa op te slaan. Meestal staat er in het contract dat ze je gegevens alleen doorgeven naar (sub)verwerkers in landen buiten de Europese Economische Ruimte met je toestemming. Het is verstandig om zo snel mogelijk aan te geven dat je eventuele toestemming voor doorgifte naar het VK intrekt na een harde Brexit, voor alle soorten persoonsgegevens en verwerkingen. Het verbod op doorgifte zonder passende waarborgen geldt immers niet alleen voor de persoonsgegevens die je actief zelf opslaat of aan een helpdesk verstrekt, maar voor alle persoonsgegevens over je gebruik van de diensten.

Hulp nodig?

Meer informatie over de maatregelen die je na een harde Brexit moet treffen, kun je lezen in de uitleg van het Europese Comité voor Gegevensbescherming (EDPB) en de toelichtingen van de ICO, de Franse CNIL en de Autoriteit Persoonsgegevens. Natuurlijk kun je ook contact opnemen met Privacy Company voor een advies op maat.

Download
Sjoera
Adviseur