Op 13 november 2018 bereikten de Europese Unie (EU) en het Verenigd Koninkrijk (VK) een akkoord over Brexit; het uittreden van het VK uit de EU. De huidige stand van zaken is als volgt: het Brits Lagerhuis ofwel het parlement heeft het terugtredingsakkoord van de regering en het EU reeds in drie stemmingen afgewezen. Dit betekent dat het uitstel van de EU tot 22 mei 2019 niet meer aan de orde is en het VK uit de EU treedt als er op 12 april 2019 geen akkoord is bereikt binnen het Britse parlement. De Rijksoverheid acht het risico van een no deal Brexit reëel en waarschuwt ondernemers om op tijd maatregelen te treffen als het gaat om hun handelsafspraken met het VK.
Deze waarschuwing moet niet alleen voor ondernemers gelden maar voor alle organisaties die persoonsgegevens (deels) in het VK (laten) verwerken. Een verwerkingsverantwoordelijke die deel uitmaakt van een concern of verwerkers in de zin van Algemene Verordening Gegevensbescherming (AVG) zijn hier voorbeelden van. In dit artikel lichten wij de gevolgen, de oplossingen en de te nemen stappen toe ten aanzien van verwerking van persoonsgegevens in het VK bij een no deal Brexit. Korte boodschap vooraf: ‘hope for the best, prepare for the worst’.
Ongeacht het bereiken van een deal tussen het VK en de EU wordt het VK bij het uittreden uit de EU een zogenaamde “derde land” en zijn de regels die voor de EU gelden niet meer van toepassing. Het doel dat bij een deal Brexit wordt nagestreefd, is dat de EU-regels en daarmee ook de AVG juist ongewijzigd van kracht blijven. Dit zal vanwege de overgangsperiode in ieder geval tot eind 2020 het geval zijn. Dit betekent dat er tot die tijd niets verandert wat betreft de doorgifte van persoonsgegevens naar het VK.
Bij een no deal Brexit zijn de onderdelen van de AVG, die gelden voor het doorgeven van persoonsgegevens buiten de EU, aan de orde voor het VK. Een no deal Brexit zal dan ook grote gevolgen hebben voor onder andere verwerkingsverantwoordelijken in het VK die deel uitmaken van een Europees concern of verwerkingsverantwoordelijken die samenwerken met verwerkers in het VK. De gevolgen zullen dus niet alleen voor een multinational met een vestiging in de VK voelbaar zijn, maar ook voor een Britse cloud provider of een softwareleverancier.
De AVG biedt een aantal oplossingen om doorgifte van persoonsgegevens naar een derde land alsnog mogelijk te maken bij een no deal Brexit:
Een goede voorbereiding is het halve werk, luidt het adagium. Bij een no deal Brexitgeldt dit adagium onverminderd. Maar waar te beginnen en welke stappen te nemen?
1. Inventariseren
Een belangrijke eerste stap is een overzicht te creëren van de afspraken en samenwerkingen met partijen aan wie jouw organisatie persoonsgegevens verstrekt. Beschikt je organisatie reeds over een goed werkend en beheerd Contract Management Systeem of een Privacy Management Systeem? Dan is het filteren van de partijen die persoonsgegevens in VK verwerken iets eenvoudiger dan wanneer je organisatie niet over een dergelijk overzicht beschikt.
2. Overwegen om de afspraken te herzien
Komen in het overzicht partijen naar voren aan wie je organisatie persoonsgegevens verstrekt en de verwerking buiten de EU en in dit geval in VK plaatsvindt, dan is het zaak om deze afspraken te herzien. Voor contracten die binnenkort toch aflopen, kan het beëindigen van de samenwerking een eenvoudige oplossing zijn. Hebben je afspraken een lange contractduur dan is het onvermijdelijk om gesprekken met je samenwerkingspartner te voeren om hetzij de contracten tussentijds te beëindigen, hetzij de verwerkingen in de EU te laten plaatsvinden.
3. Aanwenden juiste instrumenten AVG
Wil je de samenwerking ongewijzigd behouden of heb je geen andere keus omdat de organisatie bijvoorbeeld onderdeel uitmaakt van een concern, dan is het aanwenden van een van de instrumenten uit de AVG een oplossing. Kies daarvoor het juiste instrument door na te gaan welk instrument het beste past bij de situatie. Zo kan voor een multinational met een vestiging in het VK BCRs een optie zijn en voor een verwerker een standaard modelcontract van de Europese Commissie de juiste oplossing bieden. Zorg dat het gekozen instrument op 12 april 2019 klaar is voor gebruik.
4. Nazorg en verantwoordingsplicht
Registreer intern dat persoonsgegevens worden doorgegeven aan het VK. Dit kan bijvoorbeeld in het register van gegevensactiviteiten en in de privacyverklaring. Pas de privacyverklaring aan om betrokkenen te informeren over de doorgifte naar ‘buiten de EU’ en breng deze nogmaals onder de aandacht van de betrokkenen.
Kom je niet uit met het nemen van voorbereidende stappen en/of heb je geen overzicht van de gevolgen van Brexit binnen jouw organisatie? De privacy consultants bij Cuccibu kunnen je adviseren en ondersteunen bij de voorbereiding op de gevolgen van een no deal Brexit. Mocht je willen sparren over dit onderwerp, dan nodigen wij je graag uit om contact met ons op te nemen via info@cuccibu.nl of +31 (0) 85 303 2984.
Reduce Risk, Create Value!