insight featured image
Mag u na 31 december 2020 nog wel persoonsgegevens uitwisselen met in het Verenigd Koninkrijk gevestigde ondernemingen of instellingen? Of mag u deze data doorgeven aan een bedrijfsonderdeel van uw concern dat gevestigd is in het Verenigd Koninkrijk?
Onderwerpen

Het antwoord is nee, dat mag u niet. Althans niet zonder meer. De Algemene Verordening Gegevensbescherming (AVG) stelt beperkingen aan het uitwisselen van persoonlijke data met niet Europese Unie (EU) landen.

Data uitwisseling bij een no deal Brexit

Met nog maar circa 3 weken voor de boeg is de Brexit op 1 januari 2021 ook juridisch een feit. Weliswaar is het Verenigd Koninkrijk na 31 januari 2020 al geen lid meer van de Europese Unie, maar alle Europeesrechtelijke afspraken tussen de Europese Unie en het Verenigd Koninkrijk zijn nog steeds van kracht. Aan deze transitieperiode komt 1 januari aanstaande een eind.

Er wordt nog steeds onderhandeld op verschillende gebieden. Zoals de visserij, het creëren van een Level Playing field voor het zaken doen (dus geen directe of indirecte concurrentievervalsing) en het organiseren van het toezicht op de naleving van regels en gemaakte afspraken. Maar het eind is nu toch echt in zicht en de vraag of nog net op de valreep een deal wordt bereikt is op het moment van het schrijven van deze bijdrage niet zeker.

En ook al komt het tot een akkoord, het is haast niet goed denkbaar dat daarin alle facetten van een goede ontvlechting van het Verenigd Koninkrijk en de Europese Unie uitputtend zal zijn geregeld. Daar is eenvoudig te weinig tijd voor geweest. Dit alles heeft tot gevolg, dat ondernemers zich op tal van onderwerpen moeten voorbereiden. Vorig jaar hebben wij op een aantal juridisch onderwerpen waar ondernemers mee te maken kunnen krijgen behandeld. Het is goed om een aantal van deze onderwerpen zo kort voor de valreep in herinnering te brengen, te beginnen met de impact van Brexit op de privacybescherming.

Impact op de privacybescherming van uw gegevens na de Brexit

Zoals het er nu naar uitziet verkrijgt het Verenigd Koninkrijk met ingang van 1 januari 2021 de status van een zogenaamd ‘derde land’ in de zin van de AVG. Het Verenigd Koninkrijk is geen lid meer van de EER, terwijl het overgangsregime op 31 december aanstaande ten einde komt. Zo’n derde land wordt verondersteld niet een zodanig niveau van privacybescherming aan haar burgers te bieden als binnen EU gewaarborgd is. Daar valt inhoudelijk misschien het nodige op af te dingen, maar het juridische gevolg is wel, dat met ingang van 1 januari 2021 u niet zonder meer persoonsgegevens met het Verenigd Koninkrijk mag uitwisselen.

De Europese Unie kan uitkomst bieden in de vorm van het aanwijzen van een adequaatheidsbesluit maar de verwachting is dat een dergelijk besluit (te) lang op zich laat wachten. Ondertussen wordt overwogen om afspraken over persoonsgegevens tijdelijk als onderdeel van het huidige pakket op te nemen, maar ook daarover is nog geen zekerheid.

Welke maatregelen kunt u nemen?

Mogelijkheden zoals het stoppen van het doorgeven van data naar het Verenigd Koninkrijk of het verplaatsen van uw serviceprovider / gegevensverwerker naar EU-gebied als daar nog tijd voor is – en waarbij het de vraag is of dit operationeel en contractueel mogelijk is – kunnen zeer zijn ingrijpend voor uw bedrijfsvoering. Er zijn mogelijkheden met minder grote gevolgen.

De meest voor de hand liggende optie is momenteel om nog steeds om gebruik maken van de modelcontracten die door Europese Commissie zijn vastgesteld. U treft deze aan op de website van de Europese Commissie. Deze Standard Contractual Clauses zijn evenwel gedateerd. Voorts zijn op 12 november 2020 twee nieuwe sets ter consultatie gepubliceerd, mede naar aanleiding van de uitspraak van het Hof van Justitie op 20 juli 2020 in de zogenaamde Schrems II zaak. In deze zaak oordeelde het Hof ( naar aanleiding van doorgifte van persoonsgegevens naar de Verenigde Staten) dat het gebruik van de modelcontracten mogelijk is, mits u nagaat dat het land van ontvangst van de persoonsgegevens, zoals het Verenigd Koninkrijk, een vergelijkbaar privacy beschermingsniveau heeft als in de AVG is voorzien. Daarvan dient u zich als doorgever van persoonsgegevens goed op de hoogte te stellen. Indien privacy risico’s in het geding zijn, bijvoorbeeld wanneer er kans is dat overheidsinstanties toegang kunnen krijgen tot persoonsgegevens, moet u ondermeer adequate technische en organisatorische maatregelen nemen om privacy risico’s te beperken. Ook dient u met de ontvanger van persoonsgegevens af te spreken, dat deze u op de hoogte stelt als hij niet meer in het beschermingsniveau kan voorzien op grond waarvan u de doorgifte van persoonsgegevens (tijdelijk) kunt stoppen of aanvullende maatregelen kunt treffen. De European Data Protection Board (EDPB) heeft aanbevelingen gepubliceerd waarin handvatten worden geboden om deze beoordling te doen. Ook deze documenten bevinden zich nog in de consulatiefase en zijn dus niet definitief.

Bij gebruikmaking van deze standaardovereenkomsten mag u inhoudelijk niets wijzigen. Wel kunt u de EU-modelcontracten als basis gebruiken voor uw eigen overeenkomst, mits de inhoud en strekking van het E- model in de toepassing van uw eigen overeenkomst ongewijzigd blijft. Ons advies is om juridische assistentie bij het redigeren van de overeenkomsten in te schakelen.

Nu in het Verenigd Koninkrijk tot 31 december 2020 de AVG geldt, ligt het in de rede te veronderstellen, dat het beschermingsniveau na 1 januari a.s. niet opeens wezenlijk anders zal zijn. In dat geval blijft het gebruik maken van de modelcontracten bij doorgifte van persoonsgegevens naar het Verenigd Koninkrijk na 1 januari 2021 voorlopig mogelijk. Blijkens uitingen van de onderhandelaars kan het beschermingsniveau in het Verenigd Koninkrijk door wijzigingen in regelgeving echter ook anders worden. Dan zal bezien moeten worden of het gebruik maken nog steeds een optie is.

Zijn er nog alternatieven?

  1. Bindende bedrijfsvoorschriften
    U kunt zogenaamde bindende bedrijfsvoorschriften opstellen. Die dienen er in te voorzien dat binnen al uw bedrijfsonderdelen - zowel binnen als buiten EU - overeenkomstig de AVG wordt gehandeld zodat in alle bedrijfsonderdelen de privacy van werknemers of klanten is gewaarborgd. Deze zogenaamde ‘binding corporate rules’ kunnen een oplossing bieden voor ondernemingen met een bedrijfsonderdeel in het Verenigd Koninkrijk. Echter dit is geen oplossing voor de korte termijn, maar veeleer een strategisch optie voor de toekomst. Daarbij geldt dat u goedkeuring dient te verkrijgen van de toezichthouder, in Nederland de Autoriteit Persoonsgegevens en dat kan lang duren. Dus nee, het is geen reëel alternatief voor de korte termijn.
  2. Wachten op een adequaatheidsbesluit?
    De Europese Commissie kan een zogenaamd adequaatsheidsbesluit nemen op grond waarvan zij aangeeft dat de wetgeving op gebied van privacy in het Verenigd Koninkrijk voldoende bescherming biedt en dat het uitwisselen van persoonsgegevens om deze reden is toegestaan. Het is echter welhaast ondenkbaar, dat een dergelijk besluit vóór 1 januari 2021 door de Europese Commissie zal zijn genomen. Dus wachten hierop heeft geen zin.
  3. Last resort solution?
    Mogelijk dat als onderdeel van een deal op het laatste ogenblijk nog een (tijdelijke) voorziening wordt getroffen, die het mogelijk maakt om ook na 1 januari 2021 persoonsgegevens uit te wisselen op de wijze zoals dat tot 31 december 2020 kon. Maar zicht op een dergelijke specieke laatste termijn oplossing is er momenteeel niet.

Conclusie

Alles overziende lijkt het gebruik maken van de EU-modelcontracten voor op de korte termijn de meest praktische oplossing. Wel doet u er verstandig aan een risico-assessment te houden om te zien dat de verwerking van persoonsgegevens in het Verenigd Koninkrijk overeenkomstig de geldende privacy regels plaats en met de AVG vergelijkbaar beschermingsniveau biedt zoals dat tot 31 december 2020 het geval is geweest.
Blijft u ook na 1 januari 2021 zaken doen met ondernemingen in het Verenigd Koninkrijk en geeft u als afnemer of als leverancier van producten en/of diensten persoonsgegevens door aan in het Verenigd Koninkrijk gevestigd personen, ondernemingen of instellingen? Of is een bedrijfsonderdeel van uw concern in het Verenigd Koninkrijk gevestigd? Dan kunnen ook andere aandachtspunten spelen, zoals het benoemen van een “Data Protection Officer” in het Verenigd Koninkrijk en het niet langer door VK organisaties kunnen gebruiken van een .EU domeinnaam. Beoordeel welke maatregelen nodig zijn en laat u adviseren indien nodig. Onze specialisten zijn u graag behulpzaam !