Sinds 25 mei 2018 geldt binnen de Europese Unie (EU) één privacywet, de Algemene verordening gegevensbescherming (AVG). Het niveau van gegevensbescherming in de EU is daardoor gelijk. Het Verenigd Koninkrijk (VK) heeft de EU verlaten. Op 24 december 2020 hebben de onderhandelaars van de EU en het VK een akkoord bereikt over een nieuw partnerschap. Wat zijn de gevolgen van Brexit voor de bescherming van persoonsgegevens?
Voor welke organisaties?
De Brexit heeft mogelijk gevolgen voor alle organisaties in de EU die persoonsgegevens doorgeven aan organisaties in het VK. Het is dus belangrijk om na te gaan of jouw organisatie persoonsgegevens deelt met organisatie(s) die gevestigd is/zijn in het VK. Besteed je bijvoorbeeld de salarisbetaling uit aan een verwerker in het VK? Of maak je gebruik van diensten van een cloudprovider die is gevestigd in het VK?
Wat zijn de gevolgen?
In de Brexit-deal is opgenomen dat in de eerste 4 maanden van 2021 de doorgifte van persoonsgegevens nog op dezelfde manier mag plaatsvinden als voorheen – mits het VK in deze periode de regels voor de bescherming van persoonsgegevens niet verandert. Eventueel kan de periode van 4 maanden worden verlengd tot 6 maanden.
Tot 1 mei 2021 (of 1 juli 2021, als de periode wordt verlengd) verandert er waarschijnlijk niets voor organisaties die persoonsgegevens doorgeven aan het VK. Het is nog niet bekend hoe de situatie daarna wordt. Dit hangt ervan af of de Europese Commissie (EC) dan al een adequaatheidsbesluit heeft genomen over doorgifte van persoonsgegevens naar het VK. De twee opties zijn:
Wel een adequaatheidsbesluit
Wanneer de Europese Commissie oordeelt dat het VK voldoet aan een adequaat beschermingsniveau, dan blijft vrij verkeer van persoonsgegevens naar het VK mogelijk. Het niveau van gegevensbescherming is dan gelijkwaardig aan de Europese regelgeving.
Geen adequaatheidsbesluit
Wanneer de Europese Commissie geen adequaatheidsbesluit heeft genomen, dan wordt het VK gezien als een derde land (dat wil zeggen: een land buiten de EU). Organisaties moeten dan vanaf 1 mei 2021 (of 1 juli 2021) andere instrumenten voor doorgifte gebruiken om persoonsgegevens te mogen delen met het VK.
Meer informatie over andere instrumenten voor doorgifte naar derde landen vind je hier.