Brexit en persoonsgegevens: what’s the deal?

Op het moment van het schrijven van deze bijdrage is er nog geen zicht op een Brexit-deal. Maar ook al zou het op de valreep lukken een deal te sluiten, dan geldt niet automatisch ook een deal voor de doorgifte van persoonsgegevens naar de UK. Of data mag worden doorgegeven na 1 januari 2021 is afhankelijk van contractuele afspraken. Wat bepaalt de AVG? De AVG is van toepassing binnen de gehele Europese Economische Ruimte (hierna: EER) en stelt dat doorgifte naar landen buiten de EER alleen mogelijk is op basis van strikte voorwaarden. De UK is na 1 januari 2021 – aan het einde van de overgangsperiode van de Brexit – een zogeheten ‘derde land’. Er mogen dus niet zomaar persoonsgegevens vanuit de EER heen. Dit betekent bijvoorbeeld dat organisaties in de EER zonder nadere afspraken hun systemen met daarin persoonsgegevens niet meer mogen laten hosten door een IT-leverancier in de UK. Wie dat wel doet, overtreedt de AVG. De Europese Commissie kan wel uitkomst bieden. De Commissie kan na onderzoek vaststellen dat een derde land zoals straks de UK persoonsgegevens op grond van de in de UK geldende wetgeving voldoende beschermt. Dit heet een adequaatheidsbesluit. Als zo’n besluit is genomen, mogen persoonsgegevens afkomstig vanuit een land in de EER wel weer worden verwerkt in de UK. Maar zo’n adequaatheidsbesluit is nog niet genomen. Gelet op de korte tijd die resteert, zal zo’n besluit er ook niet komen voor 1 januari 2021. Om te komen tot een adequaatheidsbesluit, is er eerst een beoordeling door de Europese Commissie nodig. Daarna moet de European Data Protection Board een advies afgeven en moeten afgevaardigden van de EU-landen het voorgenomen adequaatheidsbesluit goedkeuren. Pas daarna is het besluit rechtsgeldig. UK na 1 januari 2021: derde land zonder adequaatheidsbesluit Dat betekent dat na 1 januari 2021 de UK een derde land is, zonder dat er een algemeen besluit is genomen dat de UK veilig genoeg is om persoonsgegevens naar toe te sturen. In die zin is de UK dan vergelijkbaar met de VS. Voor de VS gold achtereenvolgend de Safe Harbor Agreement en het Privacy Shield. Op grond van deze adequaatheidsbesluiten mochten persoonsgegevens doorgegeven worden naar de VS, althans indien de organisaties die de gegevens ontvingen verklaarden zich aan de afgesproken regels te zullen houden. Wie de rechtspraak op het gebied van de doorgifte van persoonsgegevens echter een beetje gevolgd heeft weet hoe het met die besluiten is afgelopen: het Hof van Justitie van de EU heeft ze ongeldig verklaard in de Schrems I en II uitspraken. Alternatief: modelcontracten Er zijn wel alternatieven voor de doorgifte van persoonsgegevens. De belangrijkste daarvan is het hanteren van modelcontractbepalingen (Standard Contractual Clauses). Die optie staat nog voorzichtig overeind na Schrems II. In deze uitspraak is het Europese Hof tot de conclusie gekomen dat de modelcontractbepalingen voor de doorgifte van persoonsgegevens wel geldig zijn. Maar het Hof voegt daar wel aan toe dat aan personen van wie persoonsgegevens worden doorgegeven op basis van een dergelijke modelcontractbepaling, een beschermingsniveau moet worden geboden dat in grote lijnen overeenkomt met het beschermingsniveau dat ook door de AVG wordt gegeven. Bij de beoordeling van dit beschermingsniveau moet volgens het Hof rekening worden gehouden met zowel de afspraken die zijn gemaakt tussen de partij in de EER die de gegevens doorgeeft en de ontvanger buiten de EER, als met het rechtsstelsel van dat ontvangende land. De partij in de EER die de gegevens wil doorgeven moet op voorhand nagaan of dat hoge beschermingsniveau in acht wordt genomen in het land van de ontvanger. Concreet Dit betekent dat er na 1 januari 2021 per geval beoordeeld moet worden of doorgifte van persoonsgegevens mogelijk is. De modelbepalingen moeten in ieder geval gebruikt worden tussen de organisatie in de EU en ontvanger in de UK, maar er moet ook bekeken worden of de wetgeving in de UK voldoende waarborgen biedt. Dit zou in de loop van de tijd zomaar kunnen veranderen, zodat dit doorlopend getoetst moet worden. Voor nu is het in ieder geval zaak om na te gaan of uw organisatie persoonsgegevens waarvoor zij verantwoordelijk is naar de UK doorgeeft. In dat geval is aanvullende actie nodig, waarbij het op dit moment voor de hand ligt met de modelcontracten te werken. Mocht u meer willen weten over de mogelijkheden om na het einde van de overgangsperiode van de Brexit persoonsgegevens aan een partij in de UK door te geven, neem dan contact op met Kim de Bonth.