Op 29 maart 2019 om 23:00 uur lokale tijd is het zo ver: het huwelijk tussen het Verenigd Koninkrijk (VK) en de Europese Unie (EU) is voorbij. Hier is een lange periode van onderhandelingen tussen het VK en de EU aan voorafgegaan, onder de noemer ‘Brexit’. Naast dat het grote gevolgen heeft voor de handel tussen Nederland en het VK, heeft Brexit ook gevolgen voor privacywetgeving (GDPR, ofwel AVG). Wat gaat er veranderen in het geval van een no-deal Brexit? Privacy Zeker zocht het uit.
Het moet nog duidelijk worden of er sprake gaat zijn van een harde Brexit. In dat geval zal op 29 maart het VK uit de EU vertrekken zonder een deal met de EU. Op 15 januari j.l. heeft het Britse Lagerhuis tegen een deal gestemd waarin een overgangsregeling was opgenomen. De overgangsregeling zou ervoor zorgen dat Europese wetgeving (en dus de AVG) geldig is binnen het VK tot eind 2020. Nu er tegen dit voorstel is gestemd is een kans op een harde Brexit weer reëel, zoals te zien in alle krantenkoppen deze week.
Doorgifte binnen en buiten de EU
De AVG harmoniseert de privacywetgeving binnen de lidstaten van de EU. Hierdoor is het over en weer doorgeven van persoonsgegevens tussen EU-lidstaten, of ondernemers in die lidstaten, toegestaan. In alle lidstaten moet men namelijk op dezelfde wijze met persoonsgegevens omgaan.
Er zijn ook gevallen te bedenken waarbij je persoonsgegevens wil doorgeven aan een partnerbedrijf in een land dat geen lidstaat van de EU is. Is dat ook toegestaan?
De AVG spreekt over een ‘derde land’ als het land geen lidstaat is. Alleen onder bepaalde voorwaarden mogen persoonsgegevens naar een derde land worden doorgegeven. In de meeste gevallen is hier een adequaatheidsbesluit door de Europese Commissie voor nodig. Een adequaatheidsbesluit houdt in dat de Europese Commissie beoordeelt dat het derde land goede privacywetgeving heeft. Uit ervaring blijkt dat de procedure naar een adequaatheidsbesluit langer dan één jaar kan duren. Dit komt vaak doordat de wetgeving in het derde land nog gewijzigd moet worden voordat het besluit wordt genomen door de Europese Commissie.
VK buiten EU
Canada en Nieuw-Zeeland hebben bijvoorbeeld al een adequaatheidsbesluit, maar na de Brexit heeft het VK dat nog niet. Het VK is na de Brexit geen lidstaat meer en zonder adequaatheidsbesluit mogen persoonsgegevens dus niet meer doorgegeven worden naar het VK. Bij een harde Brexit is het dus belangrijk om vóór 29 maart na te gaan welke partijen namens jouw bedrijf persoonsgegevens verwerken en of die verwerking plaatsvindt in het VK.
Oproep aan Nederlandse privacywaakhond
De kans is groot is dat veel bedrijven persoonsgegevens doorgeven naar het VK. Daarom heeft branchevereniging Nederland ICT een oproep gedaan aan de Autoriteit Persoonsgegevens om buiten de Brexit deal om een overgangsregeling te hanteren van 15 maanden. In die tijd is het enerzijds mogelijk dat het VK een adequaatheidsbesluit ontvangt of anderzijds dat Nederlandse bedrijven voldoende tijd hebben om juridische maatregelingen te treffen. Het overtreden van de AVG kan deze bedrijven namelijk fikse boetes opleveren.
De Autoriteit Persoonsgegevens geeft op de website aan dat ze op korte termijn meer duidelijkheid gaat geven over hoe om te gaan met persoonsgegevens en Brexit. Wij houden je op de hoogte.