fbpx
De vlag van Brittannië en de Europese unie.

Wat betekent de Brexit-deal voor de de uitwisseling van persoonsgegevens?

Reinier van Houten en Erik Post, privacy consultants bij Ordina

Op 24 december 2020 zijn het Verenigd Koninkrijk (VK) en de Europese Unie (EU) het eens geworden over de manier waarop het vertrek van het VK geregeld zal worden. Een 1449 pagina’s tellend document waarvan in de media hoofdzakelijk de economische gevolgen zijn belicht. Maar wat zijn het VK en de EU overeengekomen op het gebied van de bescherming van persoonsgegevens? En hoe is het doorgeven van persoonsgegevens met ingang van 1 januari 2021 geregeld?

Ordina adviseert veel organisaties op het gebied van privacy en dit zijn vragen waar onze privacy-adviseurs in gesprekken met klanten regelmatig mee te maken krijgen. Het laat zien dat er, ondanks een Brexit-deal, nog veel onduidelijk is over de gevolgen voor de uitwisseling van persoonsgegevens.

Transitieperiode

In feite vormde het jaar 2020 een transitieperiode tussen het officiële besluit van de VK om de EU te gaan verlaten en het moment waarop een handelsovereenkomst (Brexit-deal) tot stand is gekomen. Deze transitieperiode voor het verwerken van persoonsgegevens blijft in ieder geval gehandhaafd tot en met april 2021. Tot dat moment kunnen persoonsgegevens aan het VK worden doorgegeven zoals dat tot dusver gebeurde. Tenminste, als het VK in deze vier maanden niets aan de regels voor de bescherming van persoonsgegevens verandert. De periode van vier maanden kan eventueel eenmalig nog met maximaal twee maanden worden verlengd. De transitieperiode van 2020 loopt feitelijk dus door tot eind april of uiterlijk eind juni 2021.

Twee opties

Daarnaast zal in de transitieperiode bepaald moeten worden op welke manier per 1 mei of 1 juli persoonsgegevens aan het VK kunnen worden doorgegeven. Zonder al te diep op de mogelijkheden in te gaan, zijn er grofweg twee opties.

  1. Adequaatheidsbesluit
    De eerste mogelijkheid is dat de Europese Commissie (EC) een zogenaamd adequaatheidsbesluit afgeeft. De EC beoordeelt hiervoor de maatregelen die het VK heeft genomen om de rechten en vrijheden van betrokkenen te waarborgen. Is er sprake van een passend beschermingsniveau, dan geeft het een adequaatheidsbesluit af. Vanaf dat moment verandert er weinig. Persoonsgegevens kunnen aan het VK worden doorgegeven, net zoals dat op dit moment ook al kan aan landen als Argentinië, Canada en Zwitserland. Landen die ook een dergelijk adequaatheidsbesluit kennen.
  2. Geen adequaatheidsbesluit
    De tweede mogelijkheid is dat de EC géén adequaatheidsbesluit neemt voor de doorgifte van persoonsgegevens aan het VK. Dit betekent dat het VK vanuit de GDPR als een zogenaamd derde land wordt gezien. Hierop zijn dan de dezelfde mogelijkheden van de GDPR van toepassing, zoals voor elk ander derde land. Dat wil zeggen, doorgifte moet dan plaatsvinden op basis van passende waarborgen, waaronder bijvoorbeeld modelcontracten (Standard Contractual Clauses (SCC’s)) of bindende bedrijfsvoorschriften (Binding Corporate Rules (BCR’s)).

Hoe verder?

Wat er ook wordt besloten, tot 1 mei 2021 (of mogelijk tot 1 juli 2021) kunnen persoonsgegevens aan een verwerkingsverantwoordelijke of verwerker in het VK worden doorgegeven. Wat er daarna gebeurt, hangt voornamelijk af van de beoordeling van de EC: is er in het VK sprake is van een adequaat privacyregime of niet? Hierover kunnen we op dit moment slechts speculeren. We houden u op deze website op de hoogte van de ontwikkelingen, maar heeft u in de tussentijd vragen, aarzel dan niet om contact met ons op te nemen.

Ordina Cybersecurity & compliance

Met onze businesspropositie Cybersecurity & Compliance maken we de IT-infrastructuur van onze klanten veilig en weerbaar tegen aanvallen. We voorkomen dat aanvallers kunnen binnenkomen. En als een aanval daadwerkelijk plaatsvindt, dan weet de klant hoe hij moet reageren, zodat de schade beperkt blijft en de systemen weer snel up-and-running zijn. Daarbij hanteert Ordina een integrale aanpak, waarin techniek, organisatorische vraagstukken en menselijke aspecten zijn meegenomen. Klik voor meer informatie.