Het lijkt er steeds meer op dat we afstevenen op een no deal-Brexit. En niet zonder gevolgen. Het Verenigd Koninkrijk (VK) kan vanaf eind maart volgens de AVG bestempeld worden als ‘derde land’. Dat vraagt om vele aanpassingen als u persoonsgegevens uitwisselt met een partij in het VK. Bent u al klaar voor een no deal-Brexit?

Onlangs hebben de Europese privacytoezichthouders meer duidelijkheid gegeven over de juiste naleving van de AVG/GDPR bij een vertrek van het Verenigd Koninkrijk uit de Europese Unie. Met een stappenplan kunt u zich voorbereiden op een harde Brexit.

Deal of geen deal?

Als er geen deal wordt gesloten tussen de EU en het VK is er op 29 maart 2019 sprake van een harde Brexit. De EU beschouwt het VK vanaf dat moment als een ‘derde land’. Oftewel, vanaf 30 maart gelden dan de AVG-privacyregels voor het doorgeven van persoonsgegevens buiten de EU.

Hoe kan dat?

Het Verenigd Koninkrijk voldoet nu immers al aan de AVG. De Europese Commissie kan via een adequaatheidsbesluit oordelen dat het niveau van gegevensbescherming in het VK gelijkwaardig is aan dat van de Europese Unie. In dat geval kunt u ‘gewoon’ gegevens uitwisselen.

Echter, dat besluit ligt nog niet klaar. Ook niet op 29 maart 2019…

Als er wel een deal komt, dan volgt er een overgangsperiode van 2 jaar en blijft de AVG dus nog tot eind 2020 van kracht in het VK. Helaas kunt u niet uitgaan van dit scenario. Tijd om voorbereidingen te treffen dus.

Stappenplan no-deal Brexit

De Europese privacytoezichthouders hebben 5 stappen opgesteld ter voorbereiding op de harde Brexit. Hieronder volgen deze stappen met advies over de te nemen maatregelen.

Stap 1: in kaart brengen

Allereerst is het zaak om te achterhalen of u persoonsgegevens deelt met organisaties in het VK. Wellicht is de salarisbetaling er uitbesteed of worden er zaken gedaan met een cloud provider. Zo ja, achterhaal ook welke persoonsgegevens dit zijn.

Stap 2: instrumenten kiezen

Er zijn verschillende instrumenten die organisaties kunnen kiezen om het delen van persoonsgegevens met een ‘derde land’ mogelijk te maken. Gezien het gebrek aan tijd, adviseren de privacytoezichthouders om te kiezen voor de standaardbepalingen.

Ze geven aan dat er momenteel drie categorieën standaardbepalingen voor gegevensbescherming zijn:

EER-verwerkingsverantwoordelijke naar een verwerkingsverantwoordelijke van een derde land (bijvoorbeeld het VK): Er zijn 2 categorieën:

• 2001/497/EC

• 2004/915/EC

EER-verwerkingsverantwoordelijke naar een verwerker van een derde land (bijvoorbeeld het VK):

• 2010/87/EC

Punt is wel dat u geen wijzigingen in deze standaardbepalingen mag aanbrengen. Vaak liggen de grootste risico’s bij de acceptatie van deze bepalingen bij de verwerkende partij. Dus waarschijnlijk zal het in veel gevallen wel loslopen.

Toch is het zaak om zo snel mogelijk te achterhalen of u met deze standaardbepalingen uit de voeten kunt. Op maat gemaakte instrumenten (bijvoorbeeld adhocbepalingen of centrificeringsmechanismen) moeten namelijk eerst worden goedgekeurd door de Autoriteit Persoonsgegevens, na advies van de Europese toezichthouders (EDPB).

Een andere mogelijkheid is om volledig te stoppen met het uitwisselen van persoonsgegevens met de betreffende partij in het VK. Dit kan een optie zijn als de desbetreffende uitwisseling niet noodzakelijk is voor de samenwerking.

Ook kan er gekozen worden voor een partij buiten het VK, maar het is de vraag of daar wel voldoende tijd voor is.

Stap 3: wees op tijd klaar

Zorg ervoor dat u op 30 maart 2019 klaar bent en dat het gekozen instrument om het delen van persoonsgegevens met het VK mogelijk te maken (bijvoorbeeld standaardverklaringen) klaar is voor gebruik.

Stap 4: interne documenten aanpassen

Voor de naleving van de AVG is het van belang dat u in interne documenten aangeeft dat uw organisatie persoonsgegevens doorgeeft aan een ‘derde land’, namelijk het VK. Vergeet deze stap niet, want de AP kan hier op controleren.

Stap 5: pas uw privacyverklaring aan

Stel eenieder op de hoogte van de nieuwe situatie waarbij uw organisatie persoonsgegevens uitwisselt met een ‘derde land’ via de privacyverklaring op de website.

En andersom?

Volgens de Britse regering zal aan de huidige praktijk, waarin persoonsgegevens vrijelijk van het VK naar de EU-lidstaten kunnen stromen, niets veranderen in geval van een no-dealbrexit. Wel wordt aangeraden om de website van de Britse toezichthouder in de gaten te houden op veranderingen hierin…

Handige links

• Instructies voor de doorgifte van gegevens onder de AVG in het geval van een no-dealbrexit

• Nieuwsbericht Europese toezichthouders publiceren nadere toelichting Brexit

• AVG Desk: heldere uitleg specifiek voor uw organisatie

Tijd voor voorbereiding

Helaas zit er niets anders op dan u voor te bereiden op de situatie van een harde Brexit. We adviseren u voor maart nog te onderzoeken met welke partijen in het VK persoonsgegevens worden uitgewisseld. Dan heeft u vervolgens tot en met 29 maart de tijd om de standaardbepalingen (indien geschikt) te ondertekenen en de interne documentatie en privacyverklaring aan te passen. Of om te stoppen met het uitwisselen van persoonsgegevens met het VK als dit meer wenselijk is.

Als u hulp nodig heeft bij de voorbereidingen op een harde Brexit, dan kunt u onze ICT-juristen inschakelen via de AVG Desk of door te bellen naar 010 2290 646.

Ontvang onze blogs in uw mailbox

Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.