Brexit: plakken en kopiëren van de AVG, maar voor hoelang?

May 6, 2021

Het Verenigd Koninkrijk is sinds 31 december 2020 definitie geen lid meer van de Europese Unie. Doordat het Verenigd Koninkrijk uit de Europese Unie is gestapt, is zij onder andere niet langer gebonden aan de Algemene verordening gegevensbescherming (AVG). Dit betekent dat naast de files van vrachtwagens, ook persoonsgegevens van en naar het Verenigd Koninkrijk in de knel komen. Voor doorgifte van persoonsgegevens buiten de Europese Unie, zogeheten derde landen, gelden namelijk aparte regels.

Adequaatheidsbesluit

In beginsel mogen alleen persoonsgegevens worden doorgegeven naar derde landen met een passend beschermingsniveau. Volgens de Europese wetgeving zijn er een aantal manieren om de doorgifte van persoonsgegevens aan derde landen toe te staan. Doorgifte van persoonsgegevens kan plaatsvinden op basis van: een adequaatheidsbesluit van de Europese Commissie waarbij een beschermingsniveau passend wordt verklaard, of wanneer verwerkingsverantwoordelijke of de verwerker passende waarborgen biedt, waaronder afdwingbare rechten en rechtsmiddelen voor de betrokkene. Ook is het mogelijk om bindende bedrijfsvoorschriften overeen te komen (zie blog "Persoonsgegevens en ‘derde landen’: Binding Corporate Rules").

 

Een adequaatheidsbesluit, zoals bedoeld in artikel 45 AVG, houdt in dat een land buiten de Europese Economische Ruimte (EER) door de Europese Commissie officieel wordt erkend als een land met een adequaat beschermingsniveau op het gebied van gegevensbescherming (zie blog "Japan en het adequaatheidsbesluit"). Na de totstandkoming van een adequaatheidsbesluit, is er sprake van een vrije doorgifte van persoonsgegevens naar dit derde land. Dit houdt in dat bij dergelijke doorgiften er geen andere doorgifte mechanismen hoeven te worden toegepast.

 

Gevolgen ontwerpbesluit

De Europese Commissie heeft in ontwerp adequaatheidsbesluiten vastgesteld dat persoonsgegevens in het Verenigd Koninkrijk voldoende worden beschermd en dus is doorgifte van persoonsgegevens tussen de Europese Unie en het Verenigd Koninkrijk toegestaan. De Commissie heeft een adequaatheidsbesluit opgesteld voor de AVG en een voor de Richtlijn politiële en justitiële gegevens. Hiermee is de eerste stap gezet in het officiële vaststellingsproces van een adequaatheidsbesluit. In eerste instantie is de keuze van de Europese Commissie voor een adequaatheidsbesluit niet zo gek. De Brexit is nog maar vers van de pers en daarbij heeft het Verenigd Koninkrijk de AVG overgenomen in haar wetgeving.

 

Toch is er reden tot zorgen. Ten eerste heeft de Europese Commissie in haar ontwerpbesluit een vervaldatum van vier jaar na de inwerkingtreding van het adequaatheidsbesluit vastgesteld. Hierdoor is het mogelijk dat het Britse parlement, na de overbruggingsperiode, wetgeving in voert die afwijkt van het huidige beschermingsniveau. De Britse regering heeft namelijk al aangegeven dat zij voornemens heeft om een afzonderlijk een onafhankelijke gegevensbeschermingsbeleid te introduceren. Een nieuwe wetgeving hoeft niet per se negatieve gevolgen te hebben. Toch dient de Europese Commissie een slag om de arm te houden en niet pas na 4 jaar een controle uit te voeren.

Ook het Europees Comité voor gegevensbescherming (EDPB) uit haar zorgen. In het gevraagde advies van de Europese Commissie aan de EDPB van 13 april jl. komt onder meer naar voren dat het EDPB bang is dat het Verenigd Koninkrijk als een doorgeefluik voor persoonsgegevens gaat fungeren. Ook naar landen die niet hetzelfde beschermingsniveau hanteren als de Europese Unie. Denk hierbij bijvoorbeeld aan de Verenigde Staten (zie blog "PrivacyShield ongeldig verklaard door het Europese Hof van Justitie"). Het EDPB heeft de Europese Commissie om verdere opheldering gevraagd.

 

Hoe nu verder?

Ondanks de opmerkingen van het EDPB lijkt het erop dat de impact van de Brexit voor de doorgifte van persoonsgegevens beperkt is. Hoogstwaarschijnlijk worden de twee adequaatheidsbesluiten na wat wikken en wegen aangenomen. Het is nu afwachten op een reactie van de Europese Commissie waarna vervolgens een comité van vertegenwoordigers vanuit alle lidstaten groen licht moeten geven op het ontwerpbesluit. Hoogstwaarschijnlijk beslist de Europese Commissie op 30 juni 2021 of het adequaatheidsbesluit wordt aangenomen.

 

Heb je naar aanleiding van deze blog nog vragen, neem dan gerust contact met ons op via info@privacycompany.nl

 

 

Download