Sluiten

Brexit & Privacy

 

De Brexit maakt het Verenigd Koninkrijk een ‘derde land’

 

De Brexit maakt het VK een ‘derde land’. Wat zegt de AVG over de doorgifte van persoonsgegevens aan landen buiten de EU?

 

De AVG is grofweg een pakket regels dat is gericht op het beschermen van persoonsgegevens. Een persoonsgegeven is te omschrijven als informatie die leidt tot identificatie. Worden bijvoorbeeld de naam en de geboortedatum van een vrachtautochauffeur doorgegeven vanuit Nederland naar het VK dan worden er persoonsgegevens verwerkt en is de AVG van toepassing.

 

Voor de doorgifte van persoonsgegevens binnen de EU (aangevuld met Noorwegen Liechtenstein en IJsland) gelden geen aanvullende eisen en hoeft ‘slechts’ aan de AVG te worden voldaan.

 

Voor de doorgifte van persoonsgegevens buiten de EU (aan derde landen) gelden wel aanvullende eisen. Uit de AVG volgt dat er in dat geval sprake moet zijn van een adequaatheidsbesluit, passende waarborgen of een specifieke situatie.

 

Adequaatheidsbesluit

 

Doorgifte aan een organisatie in een derde land is toegestaan als de Europese Commissie heeft besloten dat het betreffende land een passend beschermingsniveau waarborgt. Voor een dergelijke doorgifte gelden geen aanvullende eisen. Uiteraard moet wel aan de AVG worden voldaan. De lijst met veilige landen vindt u op de website van de Autoriteit Persoonsgegevens.

 

Het VK staat (nog) niet op deze lijst en de EU heeft al aangegeven dat een adequaatheidsbesluit pas kan worden genomen als het VK de EU heeft verlaten. Naar verwachting zal er na de Brexit dus voorlopig nog geen adequaatheidsbesluit gelden.

 

Passende waarborgen

 

Doorgifte aan een organisatie in een derde land waar geen adequaatheidsbesluit voor geldt, is mogelijk als er sprake is van passende waarborgen. Deze kunnen, onder in de AVG uitgewerkte voorwaarden, worden geboden door:

 

  • Juridisch bindende afspraken tussen overheidsorganen (voor overheden)
  • Binding Corporate Rules (BCR) (voor internationale organisaties)
  • Standaard Contractual Clauses (SCC) (de EU heeft er thans drie opgesteld)
  • Goedgekeurde gedragscodes en certificeringsmechanismen.

 

Naar verwachting bieden voor de meest bedrijven de SCC’s een oplossing voor doorgifte na de Brexit.

 

Specifieke situaties

 

Doorgifte aan een organisatie in een derde land waar geen adequaatheidsbesluit voor geldt terwijl er ook geen sprake is van passende waarborgen, kan in specifieke situaties alsnog plaatsvinden. Deze specifieke situaties zijn limitatief in de AVG opgenomen en aan elke situatie kleven diverse voorwaarden. Verkort weergegeven gaat het om een situatie waarin de doorgifte plaatsvindt:

  • met toestemming van de betrokkene
  • in de uitvoering van een overeenkomst met of in het belang van de betrokkene
  • omdat het noodzakelijk is wegens een zwaarwichtig algemeen belang, een rechtsvordering of een vitaal belang van de betrokkene
  • vanuit een register bedoeld om het publiek voor te lichten
  • omdat het belang daarvan zwaarder weegt dan de privacybelangen, de doorgifte niet repetitief is en het gaat om een beperkt aantal betrokkenen

 

Deal or no deal?

 

Als er geen deal wordt gesloten, is het wachten op een adequaatheidsbesluit. Intussen zullen partijen (vooral) zijn aangewezen op de SCC’s om persoonsgegevens te mogen blijven doorgeven.

 

Als er wel een deal wordt gesloten, is het uiteraard de vraag wat er wordt afgesproken voor de doorgifte van persoonsgegevens.

 

Kom in actie en bereid u voor

 

Drijft uw organisatie handel met het VK, bereid u dan voor op de Brexit. Of er een deal wordt bereikt of niet, er gaat het één en ander veranderen. De AP heeft  aangekondigd nog met informatie te komen. DIT IS INMIDDELS GEBEURD: ZIE LINK NAAR AP en LINK NAAR EDPB. Op de overzichtelijke website www.getreadyforbrexit.eu is veel te vinden. Voor privacyvragen kunt u contact opnemen met Port Privacy via www.portprivacy.com, info@portprivacy.com of 06-21463420.