Brexit en AVG: a Perfect Storm

Na de mislukte EU-top in Salzburg lijkt een harde Brexit een stap dichterbij te zijn gekomen. Op deze top lieten EU-leiders geen spaan heel van de plannen van Theresa May voor een Brexit-deal tussen de EU en het Verenigd Koninkrijk. Wat zijn de gevolgen voor Nederlandse bedrijven als het niet tot een Brexit deal komt? En hoe moeten bedrijven die persoonsgegevens in het Verenigd Koninkrijk (laten) verwerken zich voorbereiden?

Wat als er geen Brexit deal komt?

Als er een Brexit deal komt vóór 30 maart 2019, dan is er voorlopig niets aan de hand. In dat geval komt er een overgangsperiode van 21 maanden. Mocht er geen overeenkomst tussen de EU en het Verenigd Koninkrijk over de Brexit worden geratificeerd vóór 30 maart 2019, dan spreekt men van een harde Brexit. Bij een harde Brexit komt er rchter geen overgangsperiode en zal alle EU-wetgeving niet meer van toepassing zijn in het Verenigd Koninkrijk vanaf  30 maart 2019.

Wat voor gevolgen heeft dit voor doorgifte van persoonsgegevens?

Onder de AVG kunnen persoonsgegevens zonder belemmeringen binnen de EEA doorgegeven worden. De doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (in de AVG genoemd: ‘derde landen) ligt veel moeilijker.  Onder de Europese Economische Ruimte horen alle EU-landen plus Liechtenstein, Noorwegen en IJsland. De doorgifte naar landen buiten de EER is in principe verboden, tenzij er een uitzondering van toepassing is. Als er een harde Brexit plaatsvindt, zal het Verenigd Koninkrijk vanaf 30 maart 2019 een derde land worden. Persoonsgegevens mogen dan opeens niet meer worden doorgegeven aan het Verenigd Koninkrijk.

Dat zal een probleem zijn voor bedrijven die hun persoonsgegevens laten verwerken in het Verenigd Koninkrijk. Voor bedrijven uit het Verenigd Koninkrijk die bedrijven in de EEA inschakelen lijkt er echter niet veel aan de hand. De Britse overheid heeft bekendgemaakt dat die doorgifte toegestaan blijft.

Wat kan ik doen om doorgifte naar het Verenigd Koninkrijk alsnog mogelijk te maken?

De AVG schrijft een paar methoden voor om alsnog doorgifte naar derde landen (zoals het Verenigd Koninkrijk na een Brexit) mogelijk te maken. Wat zijn de relevante methoden? En hoe nuttig zijn ze in geval van een Brexit?

  • De Europese Commissie kan landen goedkeuren als de Europese Commissie van mening is dat een land een “passend niveau van bescherming van persoonsgegevens” biedt. Daar gaat meestal een lange onderhandeling met het desbetreffende land aan vooraf. De kans dat de  Europese Commissie vóór 30 maart 2019 tot goedkeuring overgaat is daarom niet groot. Zeker niet na de mededeling van de Secretary of State for Exiting the European Union dat er weinig vooruitgang wordt geboekt tijdens de onderhandelingen tussen de EU en het Verenigd Koninkrijk op het gebied van persoonsgegevens.
  • Voor doorgifte naar landen die niet door de Europese Commissie zijn goedgekeurd, kunnen de bedrijven zogenoemde “Binding Corporate Rules” sluiten. Zulke BCR’s moeten voorafgaand goedgekeurd worden door de Autoriteit Persoonsgegevens. Binding Corporate Rules worden gebruikt voor het intragroep uitwisselen van persoonsgegevens. Veel uitwisseling vindt echter plaats tussen bedrijven buiten hun groepsconcern. In die gevallen bieden Binding Corporate Rules dus geen uitweg.
  • Bedrijven die persoonsgegevens uitwisselen kunnen er ook voor kiezen om de standaard contractbepalingen (ook wel de ‘Standard Contract Clauses’)  op te nemen in hun overeenkomsten. Het gaat dan om standaard contractclausules die door de Europese Commissie zijn goedgekeurd. Deze zijn hier te vinden. Dit zal de methode worden waarop bedrijven het vaakst zullen terugvallen.

Welke maatregelen moet ik nemen als verantwoordelijke?

Vóór 6 oktober 2015 vond de uitwisseling van persoonsgegevens tussen bedrijven in de EEA en de Verenigde Staten vaak plaats via de zogenoemde Safe Harbour. Op 6 oktober 2015 heeft de hoogste rechter in de EU de Safe Harbour vernietigd. Vanaf dat moment was de doorgifte van persoonsgegevens naar de Verenigde Staten voor veel bedrijven opeens in in strijd met de WBP (de Nederlandse voorloper van de AVG). Die bedrijven grepen meestal terug op de Standard Contract Clauses om deze doorgifte alsnog mogelijk te maken.

De les die we voornamelijk kunnen trekken uit het Safe Harbour-debacle is dat veel bedrijven niet in kaart hadden van welke leveranciers in de Verenigde Staten zij gebruik maakten. Bedrijven gebruiken vaak veel leveranciers en het kost tijd om te achterhalen waar al deze leveranciers persoonsgegevens verwerken. Alhoewel het al een plicht is om te weten waar persoonsgegevens worden verwerkt, zullen veel bedrijven dit mogelijk nog niet helemaal op orde hebben.

Om je voor te bereiden op een harde Brexit is het aan te bevelen in kaart te brengen of er persoonsgegevens van jouw bedrijf in het Verenigd Koninkrijk worden verwerkt. Een complicerende factor is dat leveranciers uit het Verenigd Koninkrijk soms persoonsgegevens alleen in de EU verwerken (en er geen sprake is van doorgifte), terwijl EU leveranciers mogelijk gebruik maken van diensten die geleverd worden vanuit het Verenigd Koninkrijk.

De makkelijkste manier om grip te krijgen, is het uitsturen van een simpele questionnaire naar leveranciers. Op die manier kan een bedrijf na een harde Brexit alsnog zorgen dat de verwerking weer snel plaatsvindt binnen de grenzen van de AVG. Tenminste als het Hof van Justitie niet ook de Standard Contract Clauses vernietigt. Als dat gebeurt, dan is er pas echt sprake van een perfect storm.

Foto: airpix

Sluit Menu